Octubre ha sido un mes en el que los cibercriminales han seguido afianzando sus campañas de propagación de malware usando técnicas que llevan explotando meses y que les siguen dando buenos resultados. Así lo podemos deducir de las numerosas muestras de malware analizadas y que pertenecían a familias de malware bien conocidas y dedicadas, principalmente, al robo de información.
Empresas de transporte y logística entre las más suplantadas por los cibercriminales
A pesar de haberse observado un descenso en el número de amenazas detectadas durante el segundo cuatrimestre de 2022, tanto a nivel mundial como en España y según el último informe de amenazas publicado por ESET, las campañas que propagan malware especializado en robar credenciales almacenadas en aplicaciones siguen produciéndose de forma constante.
Buen ejemplo de ello son amenazas como Agent Tesla y Formbook, que llevan años siendo detectadas y dirigiendo sus ataques a empresas españolas, principalmente mediante el envío de correos electrónicos que suplantan a otras empresas. En los últimos meses hemos observado como han aumentado los correos suplantando a agencias de transporte y logística, y octubre no ha sido una excepción.
Correos suplantando empresas como DHL, Fedex o GLS son solo algunos de los ejemplos que hemos observado durante las pasadas semanas, todos ellos con la finalidad de que el usuario descargase y ejecutase un archivo adjunto para infectar el sistema. Con la llegada de las ofertas del Black Friday y la campaña navideña, es posible que este tipo de suplantaciones incluso se incrementen.
Además de estas plantillas, tampoco debemos olvidar otras que siguen usándose de forma frecuente y que adjuntan falsos presupuestos. Incluso hemos observado campañas que invitaban a los usuarios a revisar supuestas comunicaciones enviadas por fax, por mucho que sea una tecnología en completo desuso.
El troyano bancario Grandoreiro vuelve con fuerza
Tras varios meses de nula o baja actividad, el troyano bancario Grandoreiro volvió con fuerza el pasado mes de octubre. Recordemos que este troyano, con origen en Latinoamérica, ha estado especialmente activo en España y otros países fuera de su región de origen desde principios de 2020. Junto con otras familias de malware de la misma región como Mekotio, ha protagonizado alguna de las campañas más destacadas de los últimos años, no teniendo ningún reparo en suplantar ministerios y organismos oficiales para conseguir sus objetivos.
Una de las plantillas de correo más usadas por los delincuentes para propagar estas amenazas son aquellas que adjuntan o enlazan a la descarga de factura. Estas pueden ser de todo tipo, por ejemplo facturas telefónicas suplantando a empresas como Vodafone, aunque también pueden ser facturas genéricas sin hacerse pasar por ninguna empresa u organismo oficial.
Sin embargo, en este regreso de Grandoreiro hemos observado que han cambiado o incluso reutilizado algunas de las tácticas vistas anteriormente. De hecho, hemos llegado a detectar indicios de que estarían preparando el envío masivo de correos redactados en lenguas cooficiales en España, como es el caso del catalán.
El phishing personalizado cobra relevancia
Entre las muchas campañas de phishing que se detectan y analizan en nuestros laboratorios a lo largo de un mes, siempre hay alguna que destaca por algún motivo en especial. Del mes pasado podríamos destacar, por ejemplo, aquel mensaje que, haciéndose pasar por el departamento de recursos humanos de una empresa, llegaba a buscar el logotipo de la empresa suplantada según el domino de correo usado, e incluso tenía webs especialmente preparadas para ciertas empresas de renombre como Mercadona o Amazon.
También hemos visto como las plataformas de streaming siguen siendo uno de los ganchos principales usados por los delincuentes para atraer a las víctimas. En esta ocasión analizamos una campaña de correos que suplantaba a HBO, prometiendo suscripciones anuales muy baratas pero que solo quería recopilar datos de tarjetas de crédito para suscribir a los usuarios a costosos servicios de tarificación especial.
Así mismo y ante la proximidad del inicio del Mundial de fútbol de Catar 2022, ya se han empezado a observar engaños y estafas para aprovechar el tirón de este acontecimiento deportivo. Estos engaños suelen presentarse en forma de correos de phishing anunciando que hemos sido ganadores de alguna entrada o premios económicos, además de sitios web falsos y estafas con la compra de entradas, por lo que se recomienda andar con mucho cuidado si se pretende asistir o seguir de alguna forma esta competición.
Ciberespionaje en Irán e Israel
Los investigadores de ESET no descansan ningún mes, y buena prueba de ello son las investigaciones que han salido a la luz en el pasado mes de octubre. Estas investigaciones tratan sobre temas de ciberespionaje en dos países que tienen mucho que ver en la geopolítica actual como son Israel e Irán, por lo que a todos nos interesa conocer qué información se ha desvelado al respecto.
Gracias a la telemetría de ESET y a sus investigadores hemos podido conocer las acciones de POLONIUM, un grupo APT sobre el cual hay poca información pública disponible y del que se desconoce cuál es el vector de compromiso inicial que utiliza. Este grupo habría lanzado ataques dirigidos a más de una docena de organizaciones en Israel desde al menos septiembre de 2021, siendo la actividad más reciente detectada en septiembre de 2022. Los sectores a los que apunta este grupo incluyen ingeniería, tecnología de la información, derecho, comunicaciones, marketing y gestión de marca, medios de comunicación, seguros y servicios sociales.
Respecto la campaña relacionada con el ciberespionaje en Irán, el equipo de investigadores de ESET identificó recientemente una nueva versión del malware para Android FurBall, que se utilizó en una campaña de Domestic Kitten llevada adelante por el grupo de APT-C-50. Este grupo vigila a través de los dispositivos móviles la actividad que realizan ciudadanos iraníes, y esta nueva versión de FurBall sigue teniendo este objetivo. Desde junio de 2021 este malware se distribuye como una aplicación de traducción a través de un sitio web falso que imita un sitio legítimo iraní, el cual ofrece artículos y libros traducidos.