Ciberseguridad

Detectada una suplantación de identidad de BBVA y Bankinter para instalar 'malware' con el que robar datos personales

  • Los ciberdelincuentes envían correos con supuestas facturas para infectar el sistema

Hacker

Hacker

Las entidades bancarias suelen ser uno de los sectores preferidos por los delincuentes a la hora de utilizarlos como ganchos para atraer víctimas. Además de los casos de phishing, donde se intenta obtener los datos de acceso a la banca online y los de la tarjeta de crédito, también se ha podido comprobar en los últimos meses otra tendencia donde se usan supuestas facturas para infectar el sistema de quien caiga en esta trampa.

Es lo que ha detectado la compañía experta en ciberseguridad ESET, que alerta sobre la última suplantación de identidad de BBVA y Bankinter para instalar malware dirigido a robar credenciales.

Bankinter

En uno de los casos analizados durante los últimos días, los delincuentes envían un email con un supuesto documento de anticipo usando la plataforma de cobro de facturas Confirming de Bankinter.

En este ejemplo, "los delincuentes adjuntaron un fichero Excel, que contenía macros maliciosas y que fue interceptado por el antivirus en el servidor de correo", explica Josep Albors, director de investigación y concienciación de ESET.

Suplantación de identidad del BBVA Suplantación de identidad del BBVA

Suplantación de identidad del BBVA / ESET

BBVA y Laboral Kutxa

Otros correos suplantan al BBVA pero también tienen como asunto supuestas confirmaciones de órdenes de pago. En ellos se sustituye el fichero adjunto por una imagen en miniatura de lo que parece una factura y que contiene un enlace que redirige a la descarga de un fichero.

Este mismo jueves ESET ha observado una campaña similar pero suplantando al banco Laboral Kutxa.

Cómo protegerse

Se trata de una técnica conocida que intenta evadir las detecciones en servidores de correo protegidos. Si el mensaje no es bloqueado en el propio servidor y el usuario pulsa sobre la imagen, el antivirus local puede bloquear igualmente la descarga del código malicioso.

Incluso si se descargase, todavía podría ser detectada por las diferentes capas de seguridad, aunque lo mejor es contar con antivirus que bloqueen estas amenazas antes.

Cómo funciona el ataque

En el caso del email suplantando al BBVA, descarga un fichero JavaScript que se conecta a una IP controlada por los atacantes y ubicada en Suiza desde la que se descargan archivos con el malware. Según ESET, es una variante del spyware Agent Tesla que además descarga un fichero que roba información del sistema en el que se está ejecutando el malware.

Agent Tesla es una de las herramientas de control remoto maliciosas que, junto con otras como Formbook, tiene a España como uno de sus principales objetivos. Desde hace meses hay campañas, apunta Albors, que buscan robar credenciales almacenadas en navegadores de internet, clientes de correo electrónico, VPN o clientes FTP.

Estas credenciales pueden ser posteriormente vendidas y utilizadas en otros ataques orientados al robo y cifrado de la información, como los realizados por el ransomware.

Comentar

0 Comentarios

    Más comentarios