El mes de septiembre supone la vuelta a la rutina tras el parón veraniego para muchos de nosotros y, aunque los delincuentes no se toman vacaciones, el laboratorio de ESET, el mayor fabricante de software de seguridad de la Unión Europea, sí que ha observado en las últimas semanas la reactivación de diversas campañas de malware que llevaban algunos meses detenidas.
Aunque muchas de las campañas de propagación de malware suelen estar diseñadas por los cibercriminales para afectar al mayor número de usuarios posible, independientemente de dónde procedan, cada cierto tiempo observamos algunas de ellas que o bien están dirigidas a usuarios concretos o bien apuntan directamente a España como foco de su ataque. Así ha sucedido durante septiembre, mes en el que el laboratorio de ESET ha analizado un par de casos con especial relevancia entre los usuarios españoles. El primero de ellos lo conocíamos nada más empezar el mes: una campaña realizada desde mediados de agosto y que tenía a víctimas españolas y portuguesas como protagonistas en su gran mayoría; el segundo consistía en un troyano bancario denominado Emotet.
Tras analizar las muestras del malware que afectó a víctimas españolas y portuguesas mayoritariamente a principios de mes, se demostró que, aunque pertenecía a familias de malware diferentes, todas ellas estaban escritas en .Net y tenían su código ofuscado para intentar evitar que fueran analizadas. Las soluciones de seguridad de ESET detectaron estas amenazas como MSIL/GenKryptik y su detección se incrementó notablemente desde finales de agosto.
En esta campaña se propagaban variantes del keylogger HawkEye, que capturaba todas las pulsaciones del teclado, y de la herramienta de control remoto Quasar, lo que lleva a pensar que el principal objetivo de los delincuentes era la recopilación de información privada, como por ejemplo tarjetas de crédito, códigos de acceso y contraseñas de sus víctimas. Su vector de propagación eran los clásicos mensajes de correo con ficheros adjuntos haciéndose pasar por documentos que en realidad eran programas ejecutables infectados.
