A lo largo del mes de septiembre se han intensificado las campañas de propagación de malware que tenían a España como objetivo principal. Las más representativas de las analizadas en el laboratorio de Eset fueron las de los troyanos Bayrob y Bebloh que utilizaban ficheros adjuntos maliciosos y correos en español para intentar engañar a los usuarios.
El troyano Bayrob utilizó correos en español que tenían como asunto la inclusión de un supuesto folleto en el fichero adjunto. Sin embargo, si el usuario caía en la trampa y ejecutaba el fichero, este malware se encargaba de abrir una puerta trasera en el sistema para permitir a un atacante acceder cuando quisiera para controlarlo remotamente u obtener información confidencial.
Por otro lado, los delincuentes también usaron de forma fraudulenta el nombre de la empresa de telecomunicaciones Vodafone para propagar un correo electrónico malicioso. Cuando el usuario abría lo que supuestamente era una factura electrónica de la compañía, se encontraba un ejecutable que contenía el troyano Bebloh. Este troyano recopila información confidencial cada vez que se ejecutan programas tales como clientes de correo, navegadores de Internet o clientes FTP, además de otra información confidencial como credenciales de acceso a varios servicios online.
Si hay un malware que ha estado presente en prácticamente todos los resúmenes de amenazas de los últimos meses, éste es sin duda el ransomware. Las amenazas que cifran los ficheros o directamente el disco entero y luego piden un rescate se han multiplicado hasta alcanzar cifras muy elevadas y copar los primeros puestos de los rankings de amenazas.
A principios de septiembre también se observó un pico en las detecciones de Nemucod, un malware asociado con la descarga de numerosas variantes de ransomware. Este pico de detecciones venía asociado a una campaña de propagación de emails que utilizaban de nuevo la plantilla de Correos de España para engañar a los usuarios y que descargaba el troyano Torrentlocker.
Otro método ingenioso ideado por los delincuentes para infectar con ransomware -y observado durante las últimas semanas- es el utilizado por Fantom. Esta variante intenta camuflarse como una actualización de Windows e incluso llega a mostrar una pantalla similar a la que aparece en el sistema operativo cuando está instalando actualizaciones. El ransomware realiza el cifrado de los ficheros en el disco, y aunque el usuario consiga salir de la supuesta pantalla de actualizaciones, el proceso sigue realizándose, puesto que se trata de dos procesos diferentes.