Barómetro de seguridad ESET del mes de mayo

Los ciberdelincuentes se cuelan en los correos electrónicos aprovechando el Covid-19

51
correos electrónicos

La situación excepcional provocada por el Covid-19 nos ha hecho más vulnerables y los ciberdelincuentes no han dudado en explotar esas grietas para incrementar sus amenazas, especialmente a través de los correos electrónicos. Así lo recoge el barómetro mensual de la compañía ESET.  

Como ya se adelantaba en los anteriores informes, el laboratorio de ESET confirma que el correo electrónico es en estos momentos uno de los vectores de ataque más utilizados por los delincuentes a la hora de lanzar sus campañas. Algo parecido sucedió también en el mes de abril.

Por un lado, se han seguido observando campañas de propagación de troyanos bancarios de origen brasileño, con un protagonismo especial para los delincuentes que están detrás del troyano Mekotio. Además, han sido numerosas las campañas en las que se ha tenido como objetivo, entre otros, a usuarios de banca online españoles con una manera de actuar característica.

En las campañas observadas durante el mes de mayo los delincuentes también usaron correos con supuestas facturas para conseguir que los usuarios se descargaran y ejecutasen un archivo comprimido que dentro contenía un ejecutable con malware. También se observó una campaña similar que suplantaba la entidad bancaria Cajamar.

Por otro lado, los delincuentes han aprovechado el momento que vivimos para suplantar a alguna empresa conocida, como Vodafone, u organizaciones estatales, como la Agencia Tributaria, para intentar convencer al usuario de que debe descargarse un fichero con información importante. Este archivo es en realidad un malware que busca robar los datos de acceso a la banca online y sustraer así el dinero almacenado en su cuenta.

Las amenazas y vulnerabilidades en móviles, tanto Android como iOS, fueron protagonistas de los últimos ciberataques

“Después de unos meses en casa, ahora, con la vuelta al trabajo progresiva que están llevando a cabo numerosas empresas durante estas semanas, hay que estar más atentos si cabe a las amenazas que están propagándose y así evitar que el acceso a la ‘nueva normalidad’ sea más difícil de lo que ya lo está siendo”, aconseja Josep Albors, responsable de concienciación e investigación de ESET España.

De forma similar, aunque con objetivos más variados, se han observado numerosas campañas protagonizadas por la herramienta de control remoto Agent Tesla. Esta herramienta viene utilizándose desde hace tiempo por grupos de delincuentes para acceder a sistemas comprometidos y sustraer información de todo tipo.

El laboratorio de ESET también analizó varios casos de phishing durante el mes de mayo, aunque el más llamativo fue uno dirigido a vendedores que utilizan la plataforma de Amazon para distribuir sus productos. Asimismo, los delincuentes volvieron a suplantar a Correos España mediante el envío de un SMS y una web utilizada para intentar robar los datos de las tarjetas de crédito.

El mes de mayo también fue especialmente intenso en lo que se refiere a amenazas y fallos de seguridad en dispositivos móviles Android e iPhone. Por un lado, los delincuentes siguieron con sus campañas de propagación de troyanos bancarios aprovechando el uso cada vez más intenso que hacen los usuarios de las aplicaciones de banca online.

Los expertos descubrieron cómo los troyanos bancarios seguían propagándose durante las últimas semanas, algunos de ellos usando temáticas relacionadas con el Covid-19, como mapas de propagación de la enfermedad o aplicaciones sanitarias. La mayoría de las muestras detectadas que afectaron a usuarios españoles pertenecían a las familias Cerberus o Anubis, unos tipos de malware que han experimentado un notable aumento de actividad durante los últimos meses.

También se pudo comprobar que los delincuentes utilizan ya de forma habitual las técnicas de overlay o superposición de pantalla para engañar a los usuarios suplantando a las apps bancarias para robar sus credenciales de acceso. “Durante el mes de mayo – afirman los expertos – observamos cómo los delincuentes se hicieron pasar por el Ministerio de Sanidad para propagar un troyano haciéndolo pasar como una aplicación oficial para realización de una autoevaluación del Covid-19”.

Investigadores de ESET descubrieron, por otro lado, una aplicación maliciosa para Android utilizada para lanzar ataques de denegación de servicio (DDoS). Gracias a que el propio sitio web de ESET era el objetivo de estos ataques, se pudo identificar la aplicación, analizarla e informar a Google, que rápidamente la eliminó de Play Store.

En Android se detectó una vulnerabilidad crítica, apodada StrandHogg 2.0, que permitiría a aplicaciones maliciosas hacerse pasar por legítimas para robar información sensible de los usuarios al solicitar el ingreso de credenciales de acceso u otro tipo de información. Esta vulnerabilidad afectaría a todos los dispositivos que funcionan con versión 9.0 o anteriores. Google ya anunció que empezaría a lanzar un parche que ha logrado corregir esta fallo de seguridad.

Por su parte, Apple también tuvo que hacer frente a problemas de seguridad en sus dispositivos con iOS. El pasado 23 de mayo se anunció una nueva herramienta que permite realizar jailbreak en iPhone y en todos los dispositivos de Apple que utilicen las versiones 11 a 13.5 de su sistema operativo (salvo en las versiones entre la 12.3 y la 12.3.2 y entre la 12.4.2 y la 12.4.5). Según explicaron sus desarrolladores, esta herramienta explota una vulnerabilidad zero-day presente en el kernel de iOS.

A finales de mayo se publicó información de un zero-day en el servicio de autenticación de Apple que permitía a un atacante tomar el control de aquellas cuentas que lo tuviesen implementado. Este servicio es utilizado por usuarios de dispositivos Apple para iniciar sesión en páginas web y aplicaciones, sin tener que crearse una cuenta para ese fin.

Robo de datos y filtraciones relacionadas con casos de ransomware

El aumento en el robo de datos y las filtraciones de información han seguido produciéndose durante las últimas semanas, tal y como venimos observando desde hace meses. Buena parte de estas filtraciones están relacionadas con casos de ransomware, y es que los delincuentes empezaron ya a finales de 2019 a utilizar la amenaza de filtrar información robada antes de cifrarla para conseguir que las empresas afectadas pagaran el rescate solicitado, una tendencia que no ha parado de aumentar desde entonces.

Uno de los casos sonados fue el de la aerolínea easyJet, que afectó a la información de nueve millones de sus clientes, entre los que también se encontraría la información de más de 2.000 tarjetas de crédito. La empresa lanzó un comunicado confirmando que había sido víctima de un ciberataque.

Como dato curioso, las tres empresas más importantes del mundo del videojuego también se vieron afectadas por filtraciones de información confidencial. Tanto Sony como Microsoft y Nintendo sufrieron la filtración de información confidencial relacionada con su hardware y software. En el caso de Microsoft, la información filtrada consistiría en el código fuente del sistema operativo de la primera Xbox y el de Windows NT 3.5, mientras que en el de Nintendo se habría filtrado información relacionada con generaciones pasadas de consolas Nintendo, entre las que se encontrarían Nintendo 64, GameCube y Wii.

Por su parte, Sony sufrió la filtración de imágenes y vídeos con gameplay de uno de sus lanzamientos más esperados: “The last of us 2”. En un principio se apuntó a que se podría tratar de una venganza de algún empleado descontento de Naughty Dog, la desarrolladora del juego, por las malas condiciones de trabajo, que forzaba a los empleados a maratonianas jornadas laborales.

Sin embargo, Sony confirmó el 1 de mayo que ningún empleado de Naughty Dog ni de Sony estaría involucrado en esta filtración y que todo había sido obra de un grupo de ciberdelincuentes.