Un troyano que roba datos bancarios duplica sus ataques durante el confinamiento
Al principio del confinamiento, los cibercriminales se especializaron en insertar contenido malicioso en URLS, mensajes o correos electrónicos con el término covid-19. Pero, según pasaron las semanas se fueron especializando y cambiaron sus técnicas de ataque. Se han descubierto varias campañas de spam maliciosas que se dedican a distribuir el troyano bancario Ursnif, un malware que se sitúa entre los cinco que más han infectado equipos de marzo a mayo en todo el mundo. Además, se dirige especialmente a las empresas, que durante la cuarentena han sufrido el doble de ataques de este tipo.
Ursnif es el troyano estrella del confinamiento. Se dirige específicamente a los PCs de Windows y es capaz de robar información financiera esencial, credenciales de correo electrónico y otros datos sensibles. “Al principio el malware se distribuía mediante falsas actualizaciones del programa Flash de Adobe, pero después se ha instalado mediante campañas de spam maliciosas utilizando archivos adjuntos de Word o Excel, en los que muchas veces hacemos clic sin plantearnos que puedan ser una amenaza”, explica Eusebio Nieva, director técnico de Check Point para España y Portugal. “Además utiliza el mismo código fuente o los mismos modelos funcionales que otros troyanos anteriores muy dañinos llamados Goki y Dreambot”, añade Nieva.
La expansión de Ursnif ha aumentado exponencialmente durante el confinamiento porque los ciberdelincuentes han preferido sacar rédito económico directo de sus ataques. “Antes del confinamiento la gente ya utilizaba sus claves para operar en la banca online, pero estos meses las empresas han necesitado multiplicar sus operaciones, tras solicitar permisos especiales al banco”, afirma José Luis Vázquez Poletti, profesor en el departamento de Arquitectura de Computadores y Automática de la Universidad Complutense de Madrid (UCM). Este tipo de troyano copia las claves que los bancos dan a los usuarios tras insertarla varias veces. “Además de la firma digital y otros métodos de seguridad, los bancos entregan unas claves de acceso a los usuarios que el troyano guarda”, añade Vázquez Poletti.
Un troyano es un tipo de malware. Es decir, un software que tiene una función dañina. “El troyano coge ese nombre del caballo de Troya. Entra en nuestro ordenador haciéndose pasar por una cosa distinta de la que es y se oculta al usuario legítimo del ordenador. Una vez dentro puede controlar el equipo desde fuera. Puede activar la webcam para después extorsionar al usuario, robar archivos o borrar cualquier dato”, explica Vázquez Poletti.
Pero Ursnif no es el único malware que ha fastidiado a los usuarios, -y especialmente a las empresas- durante el confinamiento. Dridex, otro troyano bancario mantiene su posición dentro del los diez que más han infectado a usuarios de todo el mundo. “En España, este virus ha afectado a un 5,85% de las empresas, situándose como la principal amenaza. Seguido de otro antiguo conocido: Agent Tesla”, señala Nieva.
Los expertos en ciberseguridad recomiendan un antivirus actualizado y un poco de cabeza. “No hacer clic en correos electrónicos sospechosos o no hacer doble clic sin pensar en cualquier archivo. Para que se instale un troyano, el usuario ha tenido que darle permiso ya sea voluntaria o involuntariamente”, dice Vázquez Poletti. Hay otras formas de darse cuenta de que tenemos un troyano en el ordenador. “En el administrador de tareas del ordenador podemos ver el porcentaje del procesador que ocupa cada programa. Si el bloc de notas ocupa un 90% significa que algo va mal.”, añade Vázquez Poletti.