Marzo es un mes con algunas celebraciones destacadas como el Día Internacional de la Mujer o el Día del Padre, fechas que los delincuentes no han dudado en aprovechar preparando campañas para tal efecto. Por ejemplo, para el 8 de marzo se utilizó como gancho una supuesta promoción de la cadena de perfumerías Druni enviando mensajes a  través de WhatsApp. En esta falsa promoción se ofrecían tarjetas regalo por valor de 800 euros, aunque la finalidad real era la de recopilar información personal de tantos usuarios como fuera posible.

La misma estrategia se utilizó pocos días después aprovechando la celebración del Día del Padre, pero suplantando esta vez a la cervecera Mahou y a la cadena de bricolaje Leroy Merlin y ofreciendo neveras repletas de cerveza y taladros como regalo. La finalidad seguía siendo la recopilación de datos personales y como método de propagación se volvían a utilizar mensajes de WhatsApp, algo que les ha resultado efectivo a los delincuentes en campañas anteriores y que seguiremos viendo en el futuro.

La utilización de mensajes de WhatsApp también se ha observado en campañas que suplantaban a la ONG Cáritas ofreciendo un supuesto bono alimentario desde una web fraudulenta. Esto demuestra, una vez más, que los delincuentes no tienen reparo alguno en suplantar a cualquier tipo de empresa, organización o administración pública con tal de conseguir su objetivo.

Además, estando cerca las vacaciones de Semana Santa, también se han producido campañas de correos que se hacen pasar por conocidas empresas especializadas en la reserva de billetes de transporte y hoteles como Booking. En estos casos comprobamos como la finalidad de los atacantes era la de robar credenciales de cuentas de correo, credenciales que luego pueden usarse para comprometer otras cuentas de servicios online o preparar ataques más dirigidos.

Por último, y debido a la proximidad del inicio de la campaña de la renta, los delincuentes han recuperado una plantilla de correo que ya observamos hace algunos meses y que, haciéndose  pasar por una notificación electrónica de la Agencia Tributaria, solicita que accedamos a una web que simula ser legítima para introducir unas credenciales de acceso con la finalidad de robarlas.

Troyanos bancarios, infostealers, estafas de criptomonedas y el regreso de Emotet
Un tipo de malware que aparece todos los meses en estos resúmenes de amenazas dirigidas a España es el relacionado con el robo de información y, más concretamente, con el robo de credenciales almacenadas en todo tipo de aplicaciones de uso cotidiano en empresas. De estas amenazas, el malware Formbook es una de las más persistentes y el mes de marzo no iba a ser una excepción, con correos haciéndose pasar por supuestas transferencias de dinero y pagos.

También es frecuente ver casos protagonizados por las familias de troyanos bancarios con origen en Latinoamérica Mekotio y Grandoreiro, y el pasado mes pudimos comprobar que los delincuentes detrás de estas amenazas siguen usando ganchos como citaciones judiciales o comprobantes de pago para hacer caer a las víctimas en su trampa, robarles el acceso a sus cuentas bancarias y transferir dinero a cuentas controladas por muleros que luego se encargan de transferir ese dinero robado a los delincuentes.

Otra estafa recurrente que también regresó durante marzo fue la de las supuestas inversiones en criptomonedas que se aprovechan de la imagen y popularidad de algunos famosos para dotar a sus estafas de cierta credibilidad. En esta ocasión vimos campañas por email usando sin permiso la imagen de Pablo Motos o Jorge Sanz, que terminaban redirigiendo a un portal web animando a todo el que lo visitase a hacerse rico invirtiendo en estas criptodivisas.

En marzo también contemplamos el regreso de una amenaza que ha dado mucho que hablar durante los últimos años y que se había tomado un descanso de unos meses. Nos referimos a Emotet, la amenaza que no pocos delincuentes utilizan como malware de primera fase para propagar todo tipo de códigos maliciosos.

De momento se han observado varias campañas de correos maliciosos en inglés y japonés, aunque no sería nada extraño que empecemos a ver nuevamente correos en español dentro de poco. Con respecto a las técnicas empleadas actualmente por esta amenaza, vemos como han pasado a usar ficheros OneNote en lugar de documentos Word y Excel para tratar de eludir las restricciones impuestas por Microsoft hace unos meses con respecto a la ejecución de macros.

Investigaciones de ESET
Marzo ha sido un mes prolífico en lo que a investigaciones de ESET respecta, empezando por la publicación de información sobre BlackLotus, el primer bootkit para UEFI conocido públicamente que evade la función de seguridad de la plataforma esencial, el Secure Boot o arranque seguro UEFI. Esta amenaza sería capaz de ejecutarse incluso en sistemas Windows 11 completamente actualizados con UEFI Secure Boot habilitado, y se estaría vendiendo en foros de cibercrimen por unos 5 000 dólares al menos desde octubre de 2022.

El equipo de investigación de ESET también identificó una campaña activa del grupo conocido como Transparent Tribe dirigida principalmente a usuarios de Android de India y Paquistán, presumiblemente con un objetivo militar o político. Las víctimas probablemente fueron atacadas a través de una estafa romántica, donde inicialmente fueron contactadas en otra plataforma y luego convencidas de usar aplicaciones supuestamente “más seguras” que terminaron instalando en sus dispositivos.

Además, los investigadores de ESET descubrieron docenas de sitios web que se hacían pasar por Telegram y WhatsApp, dirigidos principalmente a usuarios de Android y Windows, con versiones troyanizadas de estas aplicaciones de mensajería instantánea. La mayoría de las aplicaciones maliciosas que identificamos son clippers, un tipo de malware que roba o modifica el contenido almacenado en el portapapeles. Todos estos clippers buscan robar los fondos de las víctimas, y varios apuntan a las billeteras de criptomonedas.

Por último, desde ESET descubrieron una campaña que atribuyen con mucha confianza al grupo APT Tick. El incidente tuvo lugar en la red de una empresa del este de Asia que desarrolla software de prevención de pérdida de datos (DLP, por sus siglas en inglés). Los atacantes comprometieron los servidores de actualización internos de la empresa para desplegar malware dentro de la red del desarrollador de software y troyanizaron instaladores de herramientas legítimas utilizadas en la compañía, lo que eventualmente resultó en la ejecución de malware en los ordenadores de los clientes de la compañía.