Síguenos

PORTADA OFFICIAL PRESS

Alertan de correos suplantando a Bankinter y BBVA para robar credenciales

Publicado

en

Alertan del aumento de casos de la 'estafa del jefe' o el 'timo del CEO'

Josep Albors, director de investigación y concienciación de ESET, compañía pionera en protección antivirus y experta en ciberseguridad, alerta sobre la última suplantación de identidad de BBVA y Bankinter para instalar malware dirigido a robar credenciales.

 

Correos suplantando a Bankinter y BBVA

Buena parte del éxito a la hora de conseguir que un usuario termine descargando y ejecutando un código malicioso pasa por tener un gancho lo suficientemente convincente. En los casos que hemos visto propagarse recientemente observamos como los delincuentes utilizan el nombre de dos conocidas entidades bancarias para tratar de engañar a los usuarios. En uno de los casos analizados durante los últimos días, los delincuentes envían un email con un supuesto documento de anticipo usando la plataforma de cobro de facturas Confirming de Bankinter. En este ejemplo, los delincuentes adjuntaron un fichero en formato xlsx de Microsoft Excel, documento que contenía macros maliciosas y que fue interceptado por el antivirus en el servidor de correo.

Así mismo, se han observado otros correos que suplantan al BBVA pero que también tienen como asunto supuestas confirmaciones de órdenes de pago. En estos emails se sustituye el fichero adjunto por una imagen en miniatura de lo que parece una factura y que contiene un enlace que redirige a la descarga de un fichero.

El jueves 18 de noviembre hemos observado una campaña similar a los dos correos anteriores, pero suplantando la identidad del banco Laboral Kutxa. Adjuntamos un ejemplo de la plantilla utilizada por los delincuentes para facilitar su reconocimiento.

 

Se trata de una técnica conocida desde hace tiempo y que intenta evadir las detecciones en servidores de correo que cuenten con soluciones de seguridad. Sin embargo, en el caso de que el mensaje no sea bloqueado en el propio servidor y el usuario pulse sobre la imagen de la factura, el antivirus instalado en el endpoint puede bloquear igualmente la descarga del código malicioso.

Incluso aunque no se bloquease la descarga de esta amenaza y se descargase a la máquina del usuario, todavía podría ser detectada por las diferentes capas de seguridad con las que cuentan las soluciones de seguridad hoy en día. No obstante, lo mejor es que eso no llegue a producirse y, por ese motivo, se recomienda implementar capas de seguridad que bloqueen estas amenazas antes de que sea el usuario el que tenga que deducir si debe abrir el fichero o no.

 

Revisando la amenaza

En el caso del email suplantando al BBVA, observamos como se utiliza una técnica ligeramente diferente a lo que estamos acostumbrados a ver en estos casos. Si bien desde el enlace al que redirige la imagen de la factura (alojado en una dirección del servicio MediaFire) se descarga un archivo comprimido en formato TGZ, como viene siendo habitual, en su interior no encontramos el clásico fichero ejecutable en formato EXE.

En esta ocasión observamos que se trata de un fichero JavaScript que, si procedemos a analizar, vemos como se encuentra ofuscado, precisamente para dificultar su análisis. Encontrarnos con código ofuscado es algo muy frecuente a la hora de analizar muestras de todo tipo, aunque los niveles de ofuscación pueden variar entre los diferentes desarrolladores de malware.

A la hora de analizar esta muestra en un entorno controlado observamos como este código JavaScript está programado para conectarse con una IP controlada por los atacantes y ubicada en Suiza, desde la que se descarga un archivo con el nombre EdUpsazo.exe. Este archivo actúa como un downloader o descargador, realizando una petición GET para descargar desde la misma IP un segundo fichero ejecutable en formato EXE y de nombre new.exe.

 

Es precisamente este fichero new.exe el componente principal del malware, y que es identificado por las soluciones de seguridad de ESET como una variante del spyware Agent Tesla. Además, también se realiza una petición de descarga de un fichero alojado en el CDN de Discord (una tendencia al alza, por cierto), de nombre AnthonySantosInv.dll, y cuya funcionalidad es la de robar información acerca del sistema en el que se está ejecutando el malware.

 

Como dato curioso, al revisar las conexiones realizadas por este malware para enviar la información robada del equipo infectado nos encontramos con una IP usada por los delincuentes para tal efecto con un curioso mensaje de ánimo.

Recordemos que Agent Tesla es una de las herramientas de control remoto maliciosas que, junto con otras como Formbook, tiene a España como uno de sus principales objetivos. Desde hace meses venimos observando varias campañas que tienen como finalidad robar credenciales almacenadas en aplicaciones de uso común en empresas como navegadores de Internet, clientes de correo electrónico, VPNs o clientes FTP. Estas credenciales pueden ser posteriormente vendidas y utilizadas en otros ataques orientados al robo y cifrado de la información, como los realizados por el ransomware.

 

Conclusión

Revisando la actividad de este tipo de amenazas, no parece que tengan intención de detener este tipo de campañas a corto plazo. Por ese motivo, es importante no solo aprender a reconocer las tácticas que usan para conseguir infectar los sistemas, sino utilizar soluciones de seguridad capaces de reconocer y bloquear estas amenazas, evitando así problemas importantes para nuestra empresa.

 

Advertisement
Click para comentar

Tienes que estar registrado para comentar Acceder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

PORTADA OFFICIAL PRESS

Un pavoroso incendio destruye el escenario principal de Tomorrowland dos días antes del festival

Publicado

en

Tomorrowland
Tomorrowland- RRSS

Un devastador incendio ha calcinado el escenario principal de Tomorrowland en Bélgica, a solo dos días del inicio de este icónico festival de música electrónica. El suceso, ocurrido en la tarde del 16 de julio de 2025, ha conmocionado a los miles de asistentes y a la industria musical a nivel global.

El Incendio: Un Desastre Inesperado

El incidente, cuyas causas exactas aún se investigan, ha dejado el escenario principal de Tomorrowland completamente destruido. Testigos presenciales reportaron explosiones de fuegos artificiales poco antes de que las llamas se propagaran, lo que ha llevado a especulaciones sobre un posible accidente durante las pruebas de pirotecnia, un elemento fundamental del espectáculo. Sin embargo, ni los organizadores ni los bomberos han confirmado esta hipótesis.

La magnitud del fuego fue tal que una densa columna de humo, visible desde kilómetros de distancia, se elevó sobre la llanura de Boom, Amberes, donde se celebra el festival. Los materiales utilizados en la construcción del escenario, principalmente plástico y fibra de vidrio, avivaron las llamas, complicando las labores de extinción. Afortunadamente, los bomberos lograron evacuar a todo el personal del festival a tiempo, y no se han reportado heridos. Además, un fuego artificial detonado durante el incidente alcanzó una vivienda cercana, aunque sin causar daños mayores.

¿Se Celebrará el Festival?

A pesar de la devastación, los organizadores de Tomorrowland han prometido en sus redes sociales que el festival «se celebrará como de costumbre». Este mensaje de esperanza llega a los más de 100.000 jóvenes de todo el mundo que ya habían comprado sus entradas y, en muchos casos, ya habían llegado a Bélgica en vuelos chárter.

En un comunicado oficial, la organización de Tomorrowland informó que, si bien el escenario principal sufrió «graves daños», «DreamVille» (el camping del festival) abrirá sus puertas como estaba previsto este jueves. Las actividades relacionadas con el festival en Bruselas y Amberes también continuarán según lo programado. Actualmente, el equipo se encuentra «buscando soluciones» para asegurar la celebración de las jornadas del viernes, sábado y domingo del festival. Se espera que en las próximas horas se brinde más información detallada a los asistentes.

Tomorrowland: Un Legado de Magia y Música Electrónica

Desde su primera edición en 2005, Tomorrowland se ha consolidado como uno de los festivales de música electrónica más importantes y reconocidos a nivel mundial. Con su sede en la pintoresca localidad de Boom, Bélgica, el festival es famoso por sus impresionantes escenarios temáticos, su atmósfera de fantasía y su cartel que reúne a los DJs y productores más influyentes de la escena electrónica.

Historia del Festival:

Inicios (2005-2007):

La primera edición de Tomorrowland se celebró el 14 de agosto de 2005 y atrajo a alrededor de 10.000 personas. Contó con artistas como Armin van Buuren, David Guetta y Justice. En sus primeros años, el festival fue creciendo lentamente, consolidando su propuesta musical y su identidad visual.

Expansión y Reconocimiento Internacional (2008-2012):

A partir de 2008, Tomorrowland comenzó a ganar una gran popularidad, extendiéndose a dos días de duración y atrayendo a un público cada vez más internacional. En 2011, la venta de entradas se agotó en cuestión de minutos, lo que demostró la creciente demanda. En 2012, el festival se expandió a dos fines de semana para acomodar a más asistentes.

Fenómeno Global (2013-Presente):

Desde 2013, Tomorrowland ha mantenido su estatus como un referente en la industria de los festivales. Su expansión global incluyó la creación de TomorrowWorld en Estados Unidos (2013-2015) y Tomorrowland Winter en los Alpes franceses (desde 2019), llevando la magia del festival a diferentes partes del mundo. Cada año, el festival presenta un nuevo tema que guía la estética y la narrativa de sus escenarios, creando una experiencia inmersiva para los asistentes. DJs de renombre mundial como Martin Garrix, Dimitri Vegas & Like Mike, David Guetta, y Armin van Buuren son habituales en sus escenarios, atrayendo a amantes de la música electrónica de los cinco continentes.

Este inesperado incendio representa un desafío sin precedentes para la edición de 2025 de Tomorrowland. Sin embargo, la historia del festival está marcada por su capacidad de reinventarse y superar obstáculos, lo que sugiere que los «People of Tomorrow» (como se conoce a sus seguidores) aún pueden esperar una experiencia inolvidable.

Continuar leyendo