Septiembre suele ser el mes en el que muchos regresan de sus vacaciones y vuelven a la rutina diaria solo para encontrarse con que los ciberdelincuentes no se han tomado ningún descanso y siguen haciendo de las suyas. Durante las últimas semanas hemos analizado varios ejemplos de ciberamenazas y, una vez más, hemos vuelto a comprobar como el email sigue siendo uno de los medios preferidos por los atacantes para conseguir su objetivo, aprovechando de paso las vulnerabilidades que van surgiendo en diferentes sistemas operativos.
Phishing y correos maliciosos
El phishing clásico, dirigido a suplantar la identidad de algún conocido banco, sigue siendo una apuesta segura para los delincuentes. En los últimos años hemos visto como ha ido evolucionando esta clásica amenaza, pasando de correos poco convincentes y con notables faltas de ortografía a emails más directos, correctamente escritos, usando la imagen de la entidad suplantada y con webs bastante bien diseñadas y con el correspondiente certificado de seguridad para hacer creer a las víctimas que se trata de una web legítima.
El pasado mes de septiembre analizamos varios casos de phishing bancario con las características que acabamos de describir y suplantando a entidades como Ibercaja o Liberbank. En ambos casos los delincuentes seguían un procedimiento similar, enviando un email alertando de una suspensión temporal de la cuenta o de la tarjeta de crédito, redirigiendo a la víctima a una web donde se solicitan los datos de acceso a la banca online y también los de la tarjeta de crédito.
También hemos analizado casos recientes en los que los delincuentes vuelven a suplantar a empresas de reconocido prestigio como Amazon, haciendo creer a quienes lo reciben que han sido agraciados con un premio y solicitando los datos de la tarjeta de crédito para pagar unos supuestos costes de envío.
WhatsApp tampoco se libra de ser usada como cebo para tratar de engañar a los usuarios que reciben un email haciéndoles creer que van a descargar una copia de seguridad de su historial. Sin embargo, la realidad es que de seguir las instrucciones indicadas en ese email, estarán infectando su sistema con una variante del troyano bancario Grandoreiro. Otro troyano similar, como es Numando, también ha empezado a usar correos maliciosos para propagarse por varios países, entre los que se incluye España.
Entre todos los ejemplos analizados de phishing y malspam durante el mes pasado ha habido alguno que nos ha llamado poderosamente la atención. Se trataba de casos en los que, usando el email de una empresa legítima, se enviaba una supuesta propuesta de acuerdo y se proporcionaba un enlace para consultar este documento. Este enlace redirigía a una web con el logo de la empresa suplantada y, en lugar de descargar un documento, volvía a redirigir al usuario a una web fraudulenta donde se pedían las credenciales de Microsoft, usadas por empresas y usuarios para, por ejemplo, acceder a Office 365.
Vulnerabilidades aprovechadas en ciberataques
El segundo martes del mes de septiembre Microsoft acudió a su cita habitual y publicó los boletines de seguridad correspondientes a ese mes. Además de terminar de solucionar de una vez por todas la vulnerabilidad PrintNightmare, que llevaba arrastrando meses, también se publicó un parche de seguridad para otro agujero de seguridad descubierto en el motor de renderizado MSHTML del navegador Internet Explorer, y que estaba siendo usada activamente por atacantes contra usuarios que usasen MS Office y Office 365 en Windows 10, aunque también afecta a sistemas anteriores como Windows 8.1 e incluso a Windows Server 2008-2019.
La solución de esta vulnerabilidad se había convertido en una prioridad, puesto que algunos operadores de ransomware la estaban utilizando para conseguir acceder a las redes de sus objetivos para, seguidamente, robarles y cifrarles la información almacenada. Además, tras hacerse públicos los detalles de esta vulnerabilidad, el número de detecciones de intentos de explotarla aumentó considerablemente, de ahí que Microsoft insistiera en la necesidad de aplicar el parche que la solucionaba lo antes posible.
No debemos olvidar que los agujeros de seguridad sin parchear son aprovechados frecuentemente tanto por ciberdelincuentes comunes como por grupos APT. Un ejemplo de esto fue el descubrimiento del grupo de ciberespionaje FamousSparrow por parte de los investigadores de ESET, un grupo que aprovechaba la vulnerabilidad Proxylogon y que se especializa en atacar principalmente a hoteles de todo el mundo, pero también a gobiernos, organizaciones internacionales, empresas enfocadas en la ingeniería y bufetes de abogados.
Amenazas en smartphones
Un mes más hemos podido comprobar como los smartphones siguen estando en el punto de mira de los ciberdelincuentes. Los mensajes alertando de la entrega de un paquete siguen funcionando muy bien como cebo para conseguir que los usuarios proporcionen información personal e incluso los datos de sus tarjeta de crédito. También sirven para conseguir que se instalen aplicaciones maliciosas que luego se encargan de robar las credenciales de acceso a la banca online y vaciar la cuenta corriente de sus víctimas.
Sin embargo, los delincuentes también utilizan otros cebos como las actualizaciones de seguridad del dispositivo. Cada vez hay más usuarios preocupados por la seguridad de sus dispositivos y por mantenerlos debidamente actualizados, algo que aprovechan los criminales para ofrecerles supuestas actualizaciones del sistema o falsas soluciones de seguridad que terminan infectando el dispositivo con varias finalidades maliciosas. Apple tampoco se libra de los problemas de seguridad, con el descubrimiento de varias vulnerabilidades graves que habrían sido aprovechadas durante los últimos meses para espiar a determinados objetivos relevantes. Durante el pasado mes se lanzó un parche para solucionar la vulnerabilidad Forcedentry, que fue aprovechada por el spyware Pegasus para comprometer la seguridad de los iPhone, sin necesidad de intervención alguna del usuario.