Una nueva investigación de inteligencia de amenazas ha revelado una estadística sorprendente: un actor de amenazas conocido como Stac6565 ha decidido volcar casi todos sus recursos en un solo objetivo. Según los datos, el 80% de todos los ataques de este grupo están dirigidos exclusivamente a organizaciones y ciudadanos de Canadá.
¿Quién es Stac6565?
Se trata de un grupo cibercriminal especializado en fraude financiero. A diferencia de las bandas de ransomware que bloquean tus archivos, Stac6565 quiere entrar en tu cuenta bancaria sin que te descuiden y vaciarla.
El modus operandi
El grupo utiliza campañas de phishing muy convincentes para distribuir su malware.
- El Gancho: Envían correos electrónicos que simulan ser de instituciones reconocidas, a menudo utilizando temas urgentes como facturas impagas, problemas fiscales o notificaciones de envíos.
- La Carga Útil: El objetivo final es instalar troyanos bancarios (a menudo variantes de malware como Grandoreiro o similares de origen latinoamericano que se han expandido al norte).
- El Robo: Una vez dentro del ordenador de la víctima, el malware espera. Cuando el usuario ingresa a la web de su banco canadiense, el virus se activa, superponiendo ventanas falsas para robar las credenciales de acceso y los códigos de autenticación.
El hecho de que concentran el 80% de su fuego en Canadá sugiere que han desarrollado herramientas específicas para saltarse las medidas de seguridad de los bancos de esa región en particular.
¿Por qué Canadá? (La economía del cibercrimen)
Que un grupo dedica el 80% de sus recursos a un solo país no es casualidad; es una decisión de negocios.
- Sistemas de Pago Únicos: Canadá utiliza sistemas como Interac e-Transfer de forma masiva. Para robar eficazmente, los criminales necesitan estudiar y replicar estas plataformas específicas. Un virus genérico no funcionaría bien allí.
- Alto Poder Adquisitivo: Los objetivos en Canadá suelen tener saldos bancarios atractivos para los defraudadores, lo que justifica la inversión en crear correos de phishing en inglés y francés perfectos.
La conexión LATAM
Es muy probable que Stac6565 esté utilizando o colaborando con desarrolladores de malware de Latinoamérica (Brasil/México). Históricamente, los troyanos bancarios de esta región (como Grandoreiro, Mekotio, Casbaneiro) son los reyes de la superposición de ventanas (superposiciones web). Verlos migrar hacia el norte indica una expansión y madurez de estas bandas criminales.
Recomendaciones
- Si recibes un correo de un banco o servicio de paquetería, nunca descargues archivos adjuntos ZIP o PDF directamente. Ve a la página web oficial del servicio escribiendo la dirección en el navegador.
- Las empresas deben configurar sus filtros de correo para detectar y detonar (en sandboxes) cualquier archivo que contenga scripts ocultos, que es la vía de entrada favorita de Stac6565.
