Con muchos de nosotros ya de vuelta tras unas merecidas vacaciones, toca repasar lo acontecido en el mundo de la ciberseguridad durante el pasado mes de agosto. Aunque este mes nos recuerde a descanso y desconexión laboral, lo cierto es que agosto es uno de los meses más intensos en lo que se refiere a la seguridad informática. Buena culpa de ello la tienen varios de los eventos de ciberseguridad más importantes que se celebraron durante el pasado mes de agosto, destacando Blackhat y Defcon en Las Vegas.
Aluvión de investigaciones por parte de ESET
Con estos eventos como escaparate, no es de extrañar que el equipo de investigadores de ESET haya publicado varios artículos desvelando algunas de las amenazas y campañas de espionaje y ciberataques que han descubierto e investigado durante los últimos meses. Una de las campañas descubiertas más destacadas fue la protagonizada como MoustachedBouncer, grupo de ciberespionaje descubierto por ESET y que ha estado activo desde al menos 2014, teniendo como únicos objetivos embajadas en Bielorrusia. Hasta el momento, se ha comprobado que el personal de embajadas de cuatro países fue atacados, pertenecientes a dos países de Europa, uno del sur de Asia y uno de África.
Siguiendo con la investigación de aquellas amenazas que apuntan en dirección a Rusia, en agosto ESET publico el análisis de Telekopye, un kit de herramientas que ayuda a las personas menos técnicas a realizar estafas online con mayor facilidad. Se estima que Telekopye lleva en uso y en desarrollo activo desde 2015, y las investigaciones apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas. Las capacidades de Telekopye incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas. El kit de herramientas se implementa como un bot de Telegram y ayuda a los estafadores menos técnicos a engañar a sus víctimas.
El mes pasado también se publicaron los resultados de una investigación relacionada con una campaña de phishing de propagación masiva dirigida a recopilar las credenciales de los usuarios de cuentas Zimbra y que se encuentra activa desde al menos abril de 2023 Zimbra Collaboration es una plataforma de software colaborativo de código abierto, una popular alternativa a las soluciones de correo electrónico empresarial. Esta campaña de propagación masiva tiene como objetivo diferentes pequeñas y medianas empresas y entidades gubernamentales.
La última de las investigaciones publicadas por el equipo de investigación de ESET durante agosto tiene relación con Spacecolon, un pequeño conjunto de herramientas utilizado para desplegar variantes del ransomware Scarab a víctimas de todo el mundo. Varias variantes de esta amenaza contienen muchos comentarios dentro del código en turco, por tanto, ESET cree que está escrito por un desarrollador de habla turca. Los investigadores de ESET pudieron rastrear los orígenes de este malware al menos hasta mayo de 2020, y sus campañas siguen en curso. Los incidentes de Spacecolon identificados por la telemetría de ESET abarcan todo el mundo, con una alta prevalencia en países de la Unión Europea, como España, Francia, Bélgica, Polonia y Hungría.
El robo de credenciales sigue protagonizando las amenazas en España
Como viene siendo habitual, aquellas amenazas relacionadas con el robo de información siguieron teniendo gran protagonismo en España. Sin embargo, además de las campañas habituales protagonizadas por los códigos maliciosos Agent Tesla y Formbook, durante el mes de agosto también fue protagonista la RAT Remcos. Esta herramienta de control remoto, activa desde principios de 2017, es una de las tantas usadas por los ciberdelincuentes para obtener el control de los ordenadores de sus víctimas y, principalmente, robar información almacenada como credenciales de acceso a varios servicios.
Durante las últimas semanas han sido varias las veces que hemos detectado correos maliciosos con ficheros adjuntos que se hacen pasar por devoluciones de pagos o facturas dirigidas principalmente a los departamentos de administración de las empresas. En caso de conseguir comprometer el sistema, este código malicioso tratará de recopilar credenciales almacenadas en aplicaciones de uso cotidiano como clientes de correo, clientes VPN, navegadores de Internet y clientes FTP, tal y como viene siendo habitual en estas herramientas usadas de forma maliciosa.
Sin embargo, Remcos no fue el único infostealer que se coló en el ranking de detecciones de amenazas de agosto, puesto que otra amenaza similar de más reciente creación y de nombre Rhadamanthys también realizó campañas de propagación en nuestro país. Esta amenaza también usaba un email con una supuesta factura impagada adjunta en un fichero comprimido como vector de ataque, aunque con la particularidad de que este fichero tenía una contraseña que se incluía en el cuerpo del mensaje y tenía que ser introducida manualmente.
Esta prevalencia de ladrones de información ha hecho que España se encuentre en el top 3 de países con mayor número de robo de cuentas durante el segundo trimestre de 2023, según la información proporcionada por la empresa Surfshark. El informe reveló que más de 110 millones de cuentas se filtraron durante este periodo, más de 2,6 veces la cantidad de cuentas filtradas durante el primer trimestre, y que equivale a 855 credenciales robadas por minuto. España se situó en la tercera posición de países más afectados, solo por detrás de Estados Unidos y Rusia.
Sin embargo, existen métodos más artesanales de conseguir robar información personal y que no implican infectar un sistema. Un ejemplo de ello son las constantes campañas de phishing que diariamente inundan los buzones de entrada del correo de la mayoría de usuarios. Durante el pasado mes de agosto detectamos varias de estas campañas, aunque la que más nos llamó la atención fue la que ofrecía un suculento jamón ibérico a cambio de rellenar una sencilla encuesta y proporcionar nuestros datos de contacto y de la tarjeta de crédito.
Estafas dirigidas a usuarios españoles
Además de la propagación de amenazas y phishing, las estafas de todo tipo siguen muy presentes en España. Un ejemplo lo observamos con el clásico mensaje con una oferta de trabajo muy interesante y que fue reenviado usando el servicio de mensajería de WhatsApp a usuarios españoles de todo tipo. Estos mensajes llevamos muchos años viéndolos, aunque los delincuentes han pasado de usar solamente el correo electrónico a utilizar otros canales para tratar de captar a nuevas víctimas.
Sobre el papel, la oferta parece muy interesante y parece venir avalada por una empresa de renombre. Además solo se requiere disponer de un dispositivo conectado a Internet y se permite el teletrabajo. El salario también está muy por encima de la media, llegando a prometerse cifras que llegarían hasta los 10.000 euros por, según pone en esta oferta, completar tareas de compra en línea.
Sin embargo, detrás de esta interesante oferta se esconde una estrategia para captar muleros que recibirán dinero en sus cuentas bancarias, dinero proveniente de actividades relacionadas con el cibercrimen, y lo reenviaran a otras cuentas que pueden estar relacionadas de forma directa o indirecta con los delincuentes.
Otra estafa clásica relacionada con el envío de SMS fraudulentos es aquella que se hace pasar por empresas de envío de paquetes, entidades bancarias o incluso la Agencia Tributaria y que solicitan los datos de tarjetas de crédito. Son muchos los casos de personas afectadas que se han venido detectando desde hace ya algunos años y por eso es una buena noticia que la Guardia Civil haya detenido recientemente a más de cien personas relacionadas con este tipo de delitos.