Los ciberdelicuentes siguen explotando la situación de pandemia para distribuir sus amenazas

 

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Los expertos de esta firma han observado que el correo electrónico ha sido uno de los vectores de ataque más utilizados por los delincuentes a la hora de lanzar sus campañas de propagación de amenazas. Este vector ha sido aprovechado por varios grupos de delincuentes tal y como sucedió durante el mes de abril.

Por un lado, se han seguido observando campañas de propagación de troyanos bancarios de origen brasileño, con un protagonismo especial para los delincuentes detrás del troyano Mekotio. Además, han sido numerosas las campañas en las que se ha tenido como objetivo, entre otros, a usuarios de banca online españoles con una manera de actuar característica. En las campañas observadas durante el mes de mayo, los delincuentes también usaron correos con supuestas facturas para conseguir que los usuarios se descargaran y ejecutasen un archivo comprimido que dentro contenía un ejecutable con malware. También se observó una campaña similar que suplantaba la entidad bancaria Cajamar.

Por otro lado, los delincuentes también han aprovechado el momento para suplantar a alguna empresa conocida como Vodafone u organizaciones estatales como la Agencia Tributaria para intentar convencer al usuario de que debe descargarse un fichero con información importante. Este archivo es en realidad un malware que busca robar los datos de acceso a la banca online y sustraer así el dinero almacenado en su cuenta.

De forma similar, aunque con objetivos más variados, se han observado numerosas campañas protagonizadas por la herramienta de control remoto Agent Tesla. Esta herramienta viene utilizándose desde hace tiempo por grupos de delincuentes para acceder a sistemas comprometidos y sustraer información de todo tipo.

Su laboratorio también analizó varios casos de phishing durante el mes de mayo, aunque el más llamativo fue uno dirigido a vendedores que utilizan la plataforma de Amazon para vender sus productos. Asimismo, los delincuentes volvieron a suplantar a Correos España mediante el envío de un SMS y una web utilizada para intentar robar los datos de las tarjetas de crédito.

Seguridad móvil, un quebradero de cabeza
El análisis de la firma también ha constatado que mayo fue especialmente intenso en lo que se refiere a amenazas y fallos de seguridad en dispositivos móviles Android e iPhone. Por un lado, los delincuentes siguieron con sus campañas de propagación de troyanos bancarios aprovechando el uso cada vez más intenso que hacen los usuarios de las aplicaciones de banca online.

Según el documento, los troyanos bancarios siguieron propagándose durante las últimas semanas, algunos de ellos usando temáticas relacionadas con la COVID-19, como mapas de propagación de la enfermedad o aplicaciones sanitarias. La mayoría de muestras detectadas que afectaron a usuarios españoles pertenecían a las familias Cerberus o Anubis, clases de malware que han experimentado un notable aumento de actividad durante los últimos meses.

El informe señala, además, que los delincuentes ya utilizan de forma habitual las técnicas de ‘overlay’ o superposición de pantalla para engañar a los usuarios suplantando a las apps bancarias para robar sus credenciales de acceso. Del mes también destaca la firma los ciberdelincuentes se hicieron pasar por el Ministerio de Sanidad para propagar un troyano haciéndolo pasar como una aplicación oficial para realización de una autoevaluación de la Covid-19.

Los investigadores de la compañía descubrieron, por otro lado, una aplicación maliciosa para Android utilizada para lanzar ataques de denegación de servicio (DDoS). Gracias a que el propio sitio web de ESET era el objetivo de esos ataques, pudieron identificar la aplicación, analizarla e informar a Google, que rápidamente la eliminó de Play Store.

En Android se detectó una vulnerabilidad crítica, apodada StrandHogg 2.0, que permitiría a aplicaciones maliciosas hacerse pasar por legítimas para robar información sensible de los usuarios al solicitar el ingreso de credenciales de acceso u otro tipo de información. Esta vulnerabilidad afectaría a todos los dispositivos que funcionan con versión 9.0 o anteriores. Google ya anunció que empezaría a lanzar un parche que corrige el fallo de seguridad el mismo mes de mayo.

Por su parte, Apple también tuvo que hacer frente a problemas de seguridad en sus dispositivos con iOS. El pasado 23 de ese mes se anunció una nueva herramienta que permite realizar ‘jailbreak’ en iPhone y en todos los dispositivos de Apple que utilicen las versiones 11 a 13.5 de su sistema operativo (salvo en las versiones entre la 12.3 y la 12.3.2 y entre la 12.4.2 y la 12.4.5). Según explicaron sus desarrolladores, esta herramienta explota una vulnerabilidad zero-day presente en el kernel de iOS.

La firma concluye su repaso a las amenazas móviles con la publicación a finales de mayo de información sobre un zero-day en el servicio de autenticación de Apple que permitiría a un atacante tomar el control de aquellas cuentas que lo tuviesen implementado. Este servicio es utilizado por usuarios de dispositivos Apple para iniciar sesión en páginas web y aplicaciones, sin tener que crearse una cuenta para ese fin.

En su informe de seguridad del mes de mayo, Eset ha establecido una relación de causa-efecto entre los ataques de ransomware y las filtraciones de datos. Según explica, “los delincuentes empezaron ya a finales de 2019 a utilizar la amenaza de filtrar información robada antes de cifrarla para conseguir que las empresas afectadas pagaran el rescate solicitado”.

Esta es una tendencia que no ha parado de aumentar desde entonces, señala en un informe, que revisa los principales ciberataques y concluye que los delincuentes siguieron aprovechándose en mayo de las distracciones con el correo durante la pandemia para extender sus ataques y que el mes volvió a ser prolífico en vulnerabilidades y fallos en la seguridad móvil. 

Filtraciones, a la orden del día
Uno de los casos sonados fue el de la aerolínea easyJet, que afectó a la información de nueve millones de sus clientes, entre los que también se encontraría la información de más de 2.000 tarjetas de crédito. La empresa lanzó un comunicado confirmando que había sido víctima de un ciberataque que provocó este robo de información.

Como dato curioso, las tres empresas más importantes del mundo del videojuego también sufrieron filtraciones de información confidencial. Tanto Sony como Microsoft y Nintendo se vieron afectadas por la filtración de información confidencial relacionada con su hardware y software. En el caso de Microsoft, la información filtrada consistiría en el código fuente del sistema operativo de la primera Xbox y el de Windows NT 3.5, mientras que en el de Nintendo se habría filtrado información relacionada con generaciones pasadas de consolas Nintendo, entre las que se encontrarían Nintendo 64, GameCube y Wii.

Por su parte, Sony sufrió la filtración de imágenes y vídeos con gameplay de uno de sus lanzamientos más esperados: “The last of us 2”. En un principio se apuntó a que se podría tratar de una venganza de algún empleado descontento de Naughty Dog, la desarrolladora del juego, por las malas condiciones de trabajo que forzaba a los empleados a maratonianas jornadas laborales. Sin embargo, Sony confirmó el 1 de mayo que ningún empleado de Naughty Dog ni de Sony estaría involucrado en esta filtración y todo se trataría de la obra de un grupo de ciberdelincuentes.