Durante el pasado mes de junio hemos observado numerosas campañas de malware dirigidas a usuarios españoles, así como también una importante vulnerabilidad que afecta al sistema Windows. Además, los investigadores de ESET presentaron en la conferencia mundial a principios de mes el resumen de algunas de las investigaciones más interesantes que afectan a organizaciones gubernamentales y grandes empresas en diferentes regiones del mundo.
Vulnerabilidad crítica en Windows
Precisamente a finales de mes se reveló una vulnerabilidad crítica que afecta a diferentes versiones de Windows (tanto versiones de escritorio como servidores) y que afectaba al servicio de la cola de impresión. Inicialmente se pensó que esta vulnerabilidad estaba relacionada con otra solucionada a mediados de mes y que había sido calificada con una gravedad menor que la se merecía, pero tras un estudio más detallado, se comprobó que se trataba de un 0-day o vulnerabilidad para la cual no se dispone de parche de seguridad que la corrija.
Además, un grupo de investigadores chinos publicó un exploit para aprovechar este agujero de seguridad y, pese a retirarlo poco tiempo después, esto no ha impedido que se encuentre accesible y los atacantes que deseen explotar esta vulnerabilidad puedan hacerlo. Los principales objetivos de los atacantes que intenten explotar esta vulnerabilidad serían los controladores de dominio, ya que los usuarios autenticados de una red podrían utilizar el exploit publicado sin necesidad de realizar previamente una escalada de privilegios.
Si echamos la vista atrás, recordaremos que Stuxnet, el malware que afectó al programa nuclear iraní en 2010, también se aprovechaba de una vulnerabilidad en el servicio de la cola de impresión para alcanzar su objetivo. En los últimos meses Microsoft ha solucionado hasta tres fallos que afectaban a este servicio, por lo que se trata de un problema recurrente que, en ocasiones como esta, puede llegar a comprometer la seguridad de los equipos de empresas de todos los tamaños.
Troyanos bancarios dirigidos a Android
Siguiendo con la tendencia de los últimos meses, los usuarios de Android han visto como un mes más seguían siendo objetivo de los delincuentes que tratan de propagar troyanos bancarios. Estas amenazas están diseñadas principalmente para robar las credenciales de acceso a las aplicaciones de banca online, pero también pueden estar preparadas para robar credenciales de acceso a aplicaciones relacionadas con criptomonedas, cuentas de correo o redes sociales.
Entre estas amenazas, el malware FluBot sigue destacando por las constantes actualizaciones que sus creadores van publicando. Además de añadir a nuevos países como objetivo, sus desarrolladores han empezado a usar un nuevo gancho para conseguir nuevas víctimas que consiste en enviar un sms indicando que hay disponible un nuevo mensaje de voz, siendo necesaria la descarga de una aplicación específica para poder oírlo, aplicación que contiene en realidad este troyano bancario.
Por su parte, otras amenazas similares que responden a nombres como NotFlubot, Toddler, Anatsa o Teabot siguen utilizando los sms indicando la llegada de un paquete enviado mediante una empresa de logística. Además, en algunas de las campañas detectadas durante las últimas semanas también han utilizado una supuesta actualización del navegador como cebo para conseguir que las víctimas se descarguen e instalen la app maliciosa.
Las amenazas relacionadas con el robo de información siguen muy activas
En el informe cuatrimestral de ESET publicado a principios del mes de junio vimos como España se encontraba entre los primeros puestos de países afectados por amenazas relacionadas con el robo de información. Durante las últimas semanas hemos podido comprobar como esta tendencia seguía produciéndose, detectando varias campañas protagonizadas por amenazas de esta índole.
Por un lado tenemos las campañas que, usando el correo electrónico, tratan de infectar los equipos mediante enlaces incrustados en el email o ficheros adjuntos maliciosos. Esta técnica es sobradamente conocida pero sigue siendo tan eficaz como lo era hace años. Las principales amenazas que hacen uso de este vector de ataque son los troyanos bancarios como Mekotio y las herramientas de control remoto como Agent Tesla o FormBook.
Así mismo, el phishing tradicional que se hace pasar por una empresa como un banco o compañía de logística sigue siendo efectivo, y a pesar de no utilizar ningún tipo de malware consigue robar los datos y credenciales de acceso de sus víctimas haciéndoles pensar que se encuentran en sitios web legítimos.
Ataques dirigidos a organizaciones gubernamentales y empresas
A principios de junio ESET presentó sus investigaciones más recientes a la prensa en el marco del evento ESET World, entre las que se incluyó BackdoorDiplomacy, una puerta trasera o backdoor que ha sido utilizado para atacar a organizaciones diplomáticas y empresas de África y Oriente Medio.
BackdoorDiplomacy comparte puntos en común con otros grupos asiáticos y varias de las víctimas se vieron comprometidas mediante mecanismos que coinciden con los usados en otras campañas analizadas en 2017 y 2018. Los ataques iban dirigidos a servidores con puertos expuestos a Internet, probablemente explotando vulnerabilidades sin parchear o la pobre implementación de la seguridad de carga de archivos.
Además, los investigadores de ESET también analizaron las nuevas campañas del grupo Gelsemium y el complejo malware modular que ha utilizado en ataques contra gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia del Este y Oriente Medio. Ambas investigaciones fueron compartidas con los periodistas y se pueden encontrar todos los detalles técnicos en los informes preparados para tal efecto.