PORTADA OFFICIAL PRESS
Alertan de correos suplantando a Bankinter y BBVA para robar credenciales
Josep Albors, director de investigación y concienciación de ESET, compañía pionera en protección antivirus y experta en ciberseguridad, alerta sobre la última suplantación de identidad de BBVA y Bankinter para instalar malware dirigido a robar credenciales.
Correos suplantando a Bankinter y BBVA
Buena parte del éxito a la hora de conseguir que un usuario termine descargando y ejecutando un código malicioso pasa por tener un gancho lo suficientemente convincente. En los casos que hemos visto propagarse recientemente observamos como los delincuentes utilizan el nombre de dos conocidas entidades bancarias para tratar de engañar a los usuarios. En uno de los casos analizados durante los últimos días, los delincuentes envían un email con un supuesto documento de anticipo usando la plataforma de cobro de facturas Confirming de Bankinter. En este ejemplo, los delincuentes adjuntaron un fichero en formato xlsx de Microsoft Excel, documento que contenía macros maliciosas y que fue interceptado por el antivirus en el servidor de correo.
Así mismo, se han observado otros correos que suplantan al BBVA pero que también tienen como asunto supuestas confirmaciones de órdenes de pago. En estos emails se sustituye el fichero adjunto por una imagen en miniatura de lo que parece una factura y que contiene un enlace que redirige a la descarga de un fichero.
El jueves 18 de noviembre hemos observado una campaña similar a los dos correos anteriores, pero suplantando la identidad del banco Laboral Kutxa. Adjuntamos un ejemplo de la plantilla utilizada por los delincuentes para facilitar su reconocimiento.
Se trata de una técnica conocida desde hace tiempo y que intenta evadir las detecciones en servidores de correo que cuenten con soluciones de seguridad. Sin embargo, en el caso de que el mensaje no sea bloqueado en el propio servidor y el usuario pulse sobre la imagen de la factura, el antivirus instalado en el endpoint puede bloquear igualmente la descarga del código malicioso.
Incluso aunque no se bloquease la descarga de esta amenaza y se descargase a la máquina del usuario, todavía podría ser detectada por las diferentes capas de seguridad con las que cuentan las soluciones de seguridad hoy en día. No obstante, lo mejor es que eso no llegue a producirse y, por ese motivo, se recomienda implementar capas de seguridad que bloqueen estas amenazas antes de que sea el usuario el que tenga que deducir si debe abrir el fichero o no.
Revisando la amenaza
En el caso del email suplantando al BBVA, observamos como se utiliza una técnica ligeramente diferente a lo que estamos acostumbrados a ver en estos casos. Si bien desde el enlace al que redirige la imagen de la factura (alojado en una dirección del servicio MediaFire) se descarga un archivo comprimido en formato TGZ, como viene siendo habitual, en su interior no encontramos el clásico fichero ejecutable en formato EXE.
En esta ocasión observamos que se trata de un fichero JavaScript que, si procedemos a analizar, vemos como se encuentra ofuscado, precisamente para dificultar su análisis. Encontrarnos con código ofuscado es algo muy frecuente a la hora de analizar muestras de todo tipo, aunque los niveles de ofuscación pueden variar entre los diferentes desarrolladores de malware.
A la hora de analizar esta muestra en un entorno controlado observamos como este código JavaScript está programado para conectarse con una IP controlada por los atacantes y ubicada en Suiza, desde la que se descarga un archivo con el nombre EdUpsazo.exe. Este archivo actúa como un downloader o descargador, realizando una petición GET para descargar desde la misma IP un segundo fichero ejecutable en formato EXE y de nombre new.exe.
Es precisamente este fichero new.exe el componente principal del malware, y que es identificado por las soluciones de seguridad de ESET como una variante del spyware Agent Tesla. Además, también se realiza una petición de descarga de un fichero alojado en el CDN de Discord (una tendencia al alza, por cierto), de nombre AnthonySantosInv.dll, y cuya funcionalidad es la de robar información acerca del sistema en el que se está ejecutando el malware.
Como dato curioso, al revisar las conexiones realizadas por este malware para enviar la información robada del equipo infectado nos encontramos con una IP usada por los delincuentes para tal efecto con un curioso mensaje de ánimo.
Recordemos que Agent Tesla es una de las herramientas de control remoto maliciosas que, junto con otras como Formbook, tiene a España como uno de sus principales objetivos. Desde hace meses venimos observando varias campañas que tienen como finalidad robar credenciales almacenadas en aplicaciones de uso común en empresas como navegadores de Internet, clientes de correo electrónico, VPNs o clientes FTP. Estas credenciales pueden ser posteriormente vendidas y utilizadas en otros ataques orientados al robo y cifrado de la información, como los realizados por el ransomware.
Conclusión
Revisando la actividad de este tipo de amenazas, no parece que tengan intención de detener este tipo de campañas a corto plazo. Por ese motivo, es importante no solo aprender a reconocer las tácticas que usan para conseguir infectar los sistemas, sino utilizar soluciones de seguridad capaces de reconocer y bloquear estas amenazas, evitando así problemas importantes para nuestra empresa.
PORTADA OFFICIAL PRESS
Sánchez nombra a Milagros Tolón ministra de Educación y a Elma Saiz portavoz del Gobierno tras la salida de Pilar Alegría
El presidente del Gobierno, Pedro Sánchez, ha anunciado este lunes una remodelación puntual del Ejecutivo con el nombramiento de Milagros Tolón como nueva ministra de Educación, Formación Profesional y Deportes, y de Elma Sáiz como portavoz del Gobierno, cargo que compatibilizará con su actual responsabilidad al frente del Ministerio de Inclusión, Seguridad Social y Migraciones.
Los cambios llegan tras la salida de Pilar Alegría, que deja el Ejecutivo para centrarse en su candidatura del PSOE a las elecciones autonómicas de Aragón, convocadas para el próximo 8 de febrero, y en un contexto marcado por el descalabro electoral del PSOE en Extremadura.
Una crisis de Gobierno limitada y estratégica
Tal y como se preveía, la crisis de Gobierno ha sido quirúrgica y se ha limitado exclusivamente a las carteras afectadas por la salida de Alegría. El traspaso de poderes se formalizará este mismo lunes, tras la toma de posesión de las nuevas ministras en el Palacio de La Zarzuela, ante el rey Felipe VI.
Antes de ese acto, Sánchez mantendrá su habitual reunión de coordinación de los lunes en La Moncloa con su núcleo más cercano y, posteriormente, analizará los resultados de las elecciones extremeñas en la ejecutiva federal del PSOE, convocada en la sede de Ferraz.
Este martes está prevista una foto de familia del renovado Consejo de Ministros en la escalinata de La Moncloa, tras la cual Elma Sáiz se estrenará como portavoz en su primera comparecencia ante los medios de comunicación.
El trasfondo político: el golpe electoral en Extremadura
La remodelación se produce tras un resultado electoral especialmente adverso para el PSOE en Extremadura, un escenario que en el partido se asumía como negativo, aunque no con la magnitud finalmente registrada. El objetivo del presidente es transmitir que la legislatura continúa y que el Gobierno mantiene la iniciativa política en un calendario que anticipa un 2026 cargado de citas electorales, con elecciones en Aragón, Castilla y León y Andalucía.
En este contexto, la salida de Pilar Alegría se había dado prácticamente por descontada desde que el presidente de Aragón, Jorge Azcón, anunciara el adelanto electoral.
El perfil de Milagros Tolón al frente de Educación
Milagros Tolón, hasta ahora delegada del Gobierno en Castilla-La Mancha, asume una cartera clave en un momento de especial sensibilidad política y territorial. Pedro Sánchez ha destacado su experiencia en todos los niveles de la administración, subrayando su trayectoria como primera mujer alcaldesa de Toledo, diputada autonómica y representante del Gobierno central en Castilla-La Mancha.
El presidente ha señalado que este bagaje resulta fundamental para un ministerio en el que todas las administraciones tienen competencias, como es el de Educación, Formación Profesional y Deportes, y ha puesto en valor su capacidad de diálogo para afrontar los retos del sistema educativo.
Milagros Tolón, nueva ministra de Educación
Elma Sáiz, nueva voz del Gobierno
Elma Sáiz asumirá la portavocía del Ejecutivo en un momento político de alta intensidad, marcado por el calendario electoral y la necesidad de reforzar el mensaje de estabilidad del Gobierno. El presidente ha destacado su gestión al frente del Ministerio de Inclusión y Seguridad Social, subrayando que bajo su responsabilidad España se aproxima a los 22 millones de cotizantes, uno de los principales argumentos económicos del Ejecutivo para encarar la segunda mitad de la legislatura.
Con estos cambios, el Gobierno busca pasar página del revés electoral en Extremadura y afrontar los próximos meses con un equipo renovado en dos puestos clave para la acción política y la comunicación institucional.
Puedes seguir toda la actualidad visitando Official Press o en nuestras redes sociales: Facebook, Twitter o Instagram y también puedes suscribirte a nuestro canal de WhatsApp.
Tienes que estar registrado para comentar Acceder