Crecen las campañas de propagación de amenazas con España como objetivo

 

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

La principal vía de ataque durante el confinamiento está siendo el email y los buzones se han llenado este mes de facturas falsas y de mensajes con suplantación de identidad de empresas de mensajería, de entidades financieras o incluso de la Agencia Tributaria ante el inicio de la campaña de la renta, según el informe de seguridad de abril realizado por Eset. “Desde antes del confinamiento ya veíamos cómo los delincuentes estaban reactivando sus campañas de propagación de amenazas usando este tradicional método, y en el último mes esta tendencia se ha confirmado”, explica la firma.

Sus laboratorios han detectado que han bajado las campañas intentando aprovecharse de la crisis sanitaria usando una temática relacionada con el Covid-19, o al menos no tantas dirigidas a usuarios españoles como en marzo. Sin embargo, los delincuentes han seguido distribuyendo sucesivas oleadas de correos maliciosos con diferentes temáticas, algo que muy probablemente les haya reportado importantes beneficios a un coste bastante bajo.

Campañas más destacadas
Entre las campañas más destacadas Eset encuentra las protagonizadas por la herramienta de control remoto (RAT por sus siglas en inglés) Netwire. Mediante el uso de supuestas facturas enviadas por email e incluso suplantando a la empresa Correos Express, los delincuentes tratan de que los usuarios se descarguen un fichero malicioso desde un enlace alojado normalmente en algún servicio gratuito como Mediafire. Otra familia de RAT, como Agent Tesla, también ha protagonizado numerosas campañas de propagación usando el correo electrónico y suplantando a empresas de mensajería. De la misma forma, el malware Trickbot (asociado con el robo de información) sí que ha seguido usando la temática del coronavirus para conseguir nuevas víctimas a las que infectar después de que estas abran los documentos con macros maliciosas que suele adjuntar.

Los usuarios españoles, en el objetivo
Especialmente preocupante ha sido el incremento de campañas de correos maliciosos dirigidas a usuarios españoles durante el mes de abril. Una de las más destacadas ha estado protagonizada por el troyano bancario Grandoreiro, originario de Brasil y que desde hace unas semanas ha empezado a tener como objetivos a varios países europeos, entre los que destaca España.

Durante el pasado mes Eset ha visto cómo los delincuentes detrás de estas campañas han utilizado en repetidas ocasiones supuestas facturas pendientes de pago de empresas como Lucera o Iberdrola como gancho para que los usuarios descarguen y ejecuten el malware.

De forma similar a Netwire, estas amenazas también se alojaban en servicios como Mediafire, aunque el malware de primera fase (el que se encarga de descargar el troyano bancario) suele estar alojado en dominios registrados por los delincuentes.

También se han lanzado otras campañas de malware muy específicas y que suplantaban, en este caso, a la Agencia Tributaria con motivo de la campaña de la renta que actualmente está activa; a la Seguridad Social con un mensaje de un supuesto reembolso, o al Ministerio de Trabajo amenazando con una supuesta inspección.

En abril también se han producido numerosos casos de phishing bancario que tenían como objetivo a clientes de banca online ubicados en España. Muchos de estos casos utilizaban mensajes SMS con un enlace acortado como vector de ataque, llegando a empleaban a entidades como el Banco Santander, Bankia o Bankinter.

Además, varias fuentes se hicieron eco de una campaña de propagación de malware de criptominería oculto en supuestos archivos que contendrían películas recientes y que estarían dirigidas a un público español o latinoamericano. Entre los ficheros usados como cebo por los delincuentes se encuentran tanto grandes éxitos de Hollywood como películas españolas de reciente estreno.

También volvieron a registrarse casos de sextorsión y, a pesar de tratarse de un mensaje en inglés, la magnitud de la campaña y el hecho de que esta se alargase durante varios días puso en alerta a más de un usuario, independientemente de su idioma nativo.

Soluciones de colaboración y videoconferencia
Con un elevado número de trabajadores teletrabajando desde casa no era de extrañar que los delincuentes pusieran su atención en algunas de las herramientas que han experimentado un mayor incremento en su uso, como Zoom  o Microsoft Teams. Durante el mes de marzo ya se vieron cómo aparecían numerosas vulnerabilidades en Zoom y esta aplicación era objeto de varios ataques.

En abril se han fueron sucediendo los incidentes de seguridad en esta aplicación, a la vez que sus responsables aplicaban los parches correspondientes. También supimos de la comercialización de dos exploits para Zoom que se aprovecharían de vulnerabilidades críticas. En el caso de uno de estos exploits, estaríamos ante un aprovechamiento de una vulnerabilidad que permitiría la ejecución remota de código y algunas fuentes apuntan a que se estaría ofreciendo más de medio millón de dólares por él.

Por su parte, Microsoft Teams solucionó otra vulnerabilidad que permitía obtener información confidencial de aquellas empresas que estuviesen usando esta solución con tan solo enviar un archivo GIF malicioso a un usuario. Esta vulnerabilidad era posible gracias a la existencia de dos dominios vulnerables, a los cuales un atacante podría redirigir a sus víctimas y recibir así su cookie de sesión para, seguidamente, crear un token de Skype y robar los datos relacionados con la cuenta de Teams de la víctima.

Por último, también se publicaron dos graves vulnerabilidades para dispositivos iOS mediante las cuales un atacante podría comprometer la seguridad de estos dispositivos con tan solo enviar un email especialmente modificado al buzón de la víctima. Al parecer, estos dos fallos habrían sido aprovechados desde hace años para realizar una serie de ataques dirigidos a objetivos muy concretos.