Los últimos días del mes de abril han venido marcados por una polémica que aún perdura y que tiene como protagonistas y víctimas al Gobierno de España y a algunos de los partidos que le apoyan, inmersos en un caso de espionaje protagonizado por el spyware de origen israelí Pegasus. Sin embargo, esta noticia no puede desviar la atención de las amenazas que representan una amenaza real para los usuarios y empresas españolas.
Continúa la plaga de infostealers
Si hay una amenaza que no cesa en su empeño de robar información de las empresas españolas esta es, sin duda alguna, los infostealers o ladrones de información, más concretamente aquellos destinados a robar credenciales almacenadas en aplicaciones de uso cotidiano en las empresas como los clientes de correo, navegadores de Internet, clientes FTPs o incluso VPNs.
A lo largo del mes pasado hemos analizado numerosas campañas que han utilizado, como ya es habitual, el correo electrónico como principal vector de ataque. Entre estas campañas encontramos algunas plantillas clásicas como la suplantación de entidades bancarias tales como CaixaBank, el BBVA o el Banco Santander.
En estos correos se suele adjuntar un fichero comprimido que simula ser documentación importante para el usuario que ha recibido el correo. La realidad es que dentro de este fichero comprimido se encuentra un ejecutable que inicia la cadena de infección. Dependiendo de la campaña, los delincuentes utilizan familias de malware sobradamente conocidas como Agent Tesla u otras menos prevalentes en nuestro país como Snake.
Además, los delincuentes han usado otras plantillas para tratar de atraer la atención de los usuarios como, por ejemplo, la que se hace pasar por la Agencia Tributaria. Este tipo de cebos es algo que ya hemos viso en años anteriores siendo utilizado para propagar otro tipo de malware y demuestra que los delincuentes siguen aprovechando estrategias clásicas para conseguir nuevas víctimas.
Tampoco debemos olvidar métodos más sencillos de robar credenciales, consistentes en suplantar la identidad de una empresa reconocida y preparar una web similar a la de esta empresa. Ese es el caso de una suplantación de WeTransfer que analizamos el mes pasado y a la que los delincuentes dirigían a sus víctimas tras enviarles un correo desde un supuesto despacho de abogados.
Investigaciones de ESET
El pasado mes de abril ha sido intenso en lo que respecta a las investigaciones realizadas por los investigadores de ESET y las colaboraciones con otras empresas y CERTs. Continuando con los ciberataques relacionados con la guerra de Ucrania, investigadores de ESET trabajaron estrechamente con el Centro de Respuesta ante Incidentes de Ucrania para bloquear y mitigar el alcance de un ciberataque protagonizado por una nueva variante del malware Industroyer.
Esta estrecha colaboración consiguió evitar que los atacantes lograran su objetivo de dejar sin electricidad a las diferentes áreas de Ucrania que proporcionan suministro a las varias subestaciones atacadas por Industroyer 2. Además de esta nueva versión del malware dirigido a los sistemas de control industrial, también se detectaron otras muestras que tenían como finalidad la eliminación de información de discos en sistemas operativos Windows, Linux y Solaris.
El mes pasado ESET también colaboró junto a Microsoft y otras empresas de ciberseguridad en una operación global destinada a interrumpir el funcionamiento de las botnets del malware Zloader. Esta operación coordinada se dirigió a tres botnets específicas, cada una de las cuales usaba una versión diferente del malware Zloader, y los investigadores de ESET colaboraron aportando análisis técnicos, información estadística, nombres de dominio y direcciones IP conocidos del servidor de mando y control.
También investigadores de ESET descubrieron múltiples vulnerabilidades en varios modelos de portátiles Lenovo que permitirían a un atacante con privilegios de administrador exponer al usuario a malware a nivel de firmware. Estas vulnerabilidades pueden ser extremadamente sigilosas y peligrosas, ya que se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, permitiéndoles eludir varias medidas de seguridad y formas de mitigación diseñadas para evitar que se ejecuten sus payloads.
Otras amenazas
Durante el mes pasado observamos una curiosa campaña que parecía dirigirse a usuarios a través del servicio iMessage de Apple. En ella se buscaba a personas para un trabajo a tiempo parcial, desde casa y en el que se ganaban importantes cantidades de dinero por realizar tareas simples. Los delincuentes no daban más detalles que un número de WhatsApp, pero todo apunta a que detrás de estos mensajes se escondía una campaña de reclutamiento de muleros para blanquear dinero proveniente de cibercrimen.
Durante las últimas semanas se han observado indicios que apuntarían a que el grupo de ransomware REvil (o alguien haciéndose pasar por ellos) estaría pensando en retomar sus operaciones después de que 14 de sus miembros fueran arrestados en Rusia el pasado mes de enero. Como ejemplo de este supuesto retorno tendríamos la reactivación del blog en la red Tor usado por los delincuentes para publicar la información robada a sus víctimas y donde también había una oferta de reclutamiento para nuevos afiliados con las nuevas condiciones.
Para terminar, en el mundo de las criptomonedas y los NFT no dejan de sucederse incidentes relacionados con su seguridad. Uno de los más destacados durante el mes de abril fue el secuestro de la cuenta de Instagram y de Discord del popular proyecto de NFT Bored Ape Yacht Club (BAYC). A través de esas cuentas, los delincuentes anunciaron el “minteo” de una nueva colección de NFT. Para ello crearon un sitio falso, copia del legítimo de BAYC, desde el cual se realizaría el supuesto minteo y lo promocionaron a través de Instagram.