Para robar información bancaria, los cibercriminales se suelen valer de un «downloader», es decir un troyano que descarga malware con el fin de estudiar el entorno infectado para luego hacer otro ataque evadiendo medidas de seguridad. En América Latina @Trojan.Win32/TrojanDownloader.Rugmi.AOS es el troyano descargador más activo y a menudo es distribuido mediante ingeniería social y correos falsos.
Según informó ESET, Rugmi es una de las familias de malware más activas en América Latina. Infecta los sistemas Windows para analizar el entorno y descargar programas maliciosos adicionales, como ransomware o troyanos bancarios. Actúa como parte de una etapa inicial de ataque y busca analizar el sistema comprometido para luego poder evadir la seguridad y robar datos o bloquear archivos. Se disfraza de software legítimo para entrar en el sistema con el fin de identificar si el host comprometido resulta adecuado para que el ataque continúe.
Los analistas de ESET explicaron que el uso de etapas previas a la infección ofrece varias ventajas para los atacantes. Entre ellas está que se dificulta a los responsables de seguridad la identificación rápida qué tipo de ataque están enfrentando y complica el análisis del artefacto principal, lo que a su vez limita el desarrollo de mejoras de seguridad basadas en el modelo de «lecciones aprendidas».
En Argentina, Brasil, Colombia, México y Perú, los países con más malware de la región, la familia Rugmi está entre las tres amenazas más frecuentes del último año. De hecho, en Argentina, Colombia y México ha sido la amenaza más frecuente del último año. «Al analizar la telemetría de la región es posible observar que muchas amenazas se repiten en distintos países. Esto puede indicar cooperación entre grupos que operan en América Latina o que un mismo grupo está distribuyendo variantes específicas de malware en varios territorios», comentó Daniel Cunha Barbosa, especialista en seguridad informática de ESTE Latinoamérica.
Perú: el más infectado
El Perú se ubica en el primer lugar de países con mayor actividad de malware en la región, reveló el último análisis del mapa del cibercrimen en América Latina de ESET. Entre las amenazas más detectadas se encuentran: Backdoor.Win32/Tofsee (14%), Trojan.PDF/Phishing.D.Gen (10,57%) y Trojan.Win32/TrojanDownloader.Rugmi.AOS (4,26%).
Según ESET, el malware ha contado con un crecimiento gradual en el último año en el país, siendo en algunos casos el punto inicial de campañas que luego se extendieron a otros países latinoamericanos. Muchos de los ataques en la actualidad están dirigidos a organismos gubernamentales y sectores críticos. Tras Perú, se encuentra México con bastante phishing y ransomware y en tercer lugar está Argentina.
Más allá del caso peruano, los analistas sostiene que se trata de un fenómeno estructural. Si bien cada territorio presenta características propias, se han hallado patrones comunes en las campañas de cibercrimen, como la presencia recurrente de ciertas familias de malware y, por lo tanto, las soluciones también pueden ser de aplicación semejante en las distintas geografías.
| País | Puesto | Amenazas más detectadas | Incidente más emblemático |
|---|---|---|---|
| Perú | 1.er | • Backdoor.Win32/Tofsee • Trojan.PDF/Phishing.D.Gen con • Trojan.Win32/TrojanDownloader.Rugmi.AOS | Dirin Leaks: los ciberdelincuentes accedieron a las bases de datos de la Dirección de Inteligencia de la Policía Nacional del Perú. |
| México | 2.do | • Trojan.Win32/TrojanDownloader.Rugmi.AOS • @Trojan.PDF/Phishing.A.Gen • @Trojan.Win32/Spy.Banker.AEHQ | El grupo APT Tekir comprometió el entorno de una oficina estatal, extrayendo más de 250 GB de datos en un incidente de ransomware. |
| Argentina | 3.er | • @Trojan.Win32/TrojanDownloader.Rugmi.AOS • @Trojan.Win32/Exploit.CVE-2012-0143 • @Trojan.HTML/Phishing.Agent.AUW | El grupo de ransomware MONTI logró atacar el organismo de Fabricaciones Militares Sociedad del Estado robando 300 GB de información, incluidos proyectos militares estratégicos. |
| Brasil | 4.to | • @Trojan.JS/Spy.Banker.KN • @Trojan.Win32/TrojanDownloader.Rugmi.AOS • @Trojan.HTML/Phishing.Agent.BGB | Un empleado de la empresa C&M Software vendió sus datos de acceso a criminales y esto resultó en una desviación de fondos por más de 800 millones de reales brasileños. (US$140 millones) |
| Colombia | 5.to | • @Trojan.Win32/TrojanDownloader.Rugmi.AOS • @Trojan.PDF/Phishing.D.Gen • @Trojan.Win64/Kryptik.EDF | Una empresa de aviación, fue atacada por el grupo APT Blind Eagle. El grupo utilizó, entre otros recursos, la explotación de una vulnerabilidad antigua (CVE-2024-43451) para ayudar a comprometer el entorno. |
