La situación excepcional provocada por el Covid-19 nos ha hecho más vulnerables y los ciberdelincuentes no han dudado en explotar esas grietas para incrementar sus amenazas, especialmente a través de los correos electrónicos. Así lo recoge el barómetro mensual de la compañía ESET.
Como ya se adelantaba en los anteriores informes, el laboratorio de ESET confirma que el correo electrónico es en estos momentos uno de los vectores de ataque más utilizados por los delincuentes a la hora de lanzar sus campañas. Algo parecido sucedió también en el mes de abril.
Por un lado, se han seguido observando campañas depropagación de troyanos bancarios de origen brasileño, con un protagonismoespecial para los delincuentes que están detrás del troyano Mekotio.Además, han sido numerosas las campañas en las que se ha tenido como objetivo,entre otros, a usuarios de banca online españoles con una manera de actuarcaracterística.
En las campañas observadas durante el mes de mayo losdelincuentes también usaron correos con supuestas facturas para conseguir quelos usuarios se descargaran y ejecutasen un archivo comprimido que dentrocontenía un ejecutable con malware. También se observó una campaña similar quesuplantaba la entidad bancaria Cajamar.
Por otro lado, los delincuentes han aprovechado el momento quevivimos para suplantar a alguna empresa conocida, como Vodafone, uorganizaciones estatales, como la Agencia Tributaria, para intentarconvencer al usuario de que debe descargarse un fichero con informaciónimportante. Este archivo es en realidad un malware que busca robar los datos deacceso a la banca online y sustraer así el dinero almacenado en su cuenta.
Las amenazas y vulnerabilidades en móviles, tanto Android como iOS, fueron protagonistas de los últimos ciberataques
“Después de unos meses en casa, ahora, con la vuelta altrabajo progresiva que están llevando a cabo numerosas empresas durante estassemanas, hay que estar más atentos si cabe a las amenazas que estánpropagándose y así evitar que el acceso a la ‘nueva normalidad’ sea más difícilde lo que ya lo está siendo”, aconseja Josep Albors, responsable de concienciacióne investigación de ESET España.
De forma similar, aunque con objetivos más variados, se hanobservado numerosas campañas protagonizadas por la herramienta de controlremoto Agent Tesla. Esta herramienta viene utilizándose desde hacetiempo por grupos de delincuentes para acceder a sistemas comprometidos ysustraer información de todo tipo.
El laboratorio de ESET también analizó varios casos dephishing durante el mes de mayo, aunque el más llamativo fue uno dirigido avendedores que utilizan la plataforma de Amazon para distribuir susproductos. Asimismo, los delincuentes volvieron a suplantar a Correos Españamediante el envío de un SMS y una web utilizada para intentar robar los datosde las tarjetas de crédito.
El mes de mayo también fue especialmente intenso en lo que serefiere a amenazas y fallos de seguridad en dispositivos móviles Android eiPhone. Por un lado, los delincuentes siguieron con sus campañas de propagaciónde troyanos bancarios aprovechando el uso cada vez más intenso que hacen losusuarios de las aplicaciones de banca online.
Los expertos descubrieron cómo los troyanos bancarios seguíanpropagándose durante las últimas semanas, algunos de ellos usando temáticasrelacionadas con el Covid-19, como mapas de propagación de la enfermedad oaplicaciones sanitarias. La mayoría de las muestras detectadas que afectaron ausuarios españoles pertenecían a las familias Cerberus o Anubis, unos tipos demalware que han experimentado un notable aumento de actividad durante losúltimos meses.
También se pudo comprobar que los delincuentes utilizan ya de forma habitual las técnicas de overlay o superposición de pantalla para engañar a los usuarios suplantando a las apps bancarias para robar sus credenciales de acceso. “Durante el mes de mayo – afirman los expertos - observamos cómo los delincuentes se hicieron pasar por el Ministerio de Sanidad para propagar un troyano haciéndolo pasar como una aplicación oficial para realización de una autoevaluación del Covid-19”.
Investigadores de ESET descubrieron, por otro lado, unaaplicación maliciosa para Android utilizada para lanzar ataques de denegación deservicio (DDoS). Gracias a que el propio sitio web de ESET era el objetivo deestos ataques, se pudo identificar la aplicación, analizarla e informar aGoogle, que rápidamente la eliminó de Play Store.
En Android se detectó una vulnerabilidad crítica, apodada StrandHogg2.0, que permitiría a aplicaciones maliciosas hacerse pasar por legítimaspara robar información sensible de los usuarios al solicitar el ingreso decredenciales de acceso u otro tipo de información. Esta vulnerabilidad afectaríaa todos los dispositivos que funcionan con versión 9.0 o anteriores. Google yaanunció que empezaría a lanzar un parche que ha logrado corregir esta fallo deseguridad.
Por su parte, Apple también tuvo que hacer frente a problemasde seguridad en sus dispositivos con iOS. El pasado 23 de mayo se anunció unanueva herramienta que permite realizar jailbreak en iPhone y en todos losdispositivos de Apple que utilicen las versiones 11 a 13.5 de su sistemaoperativo (salvo en las versiones entre la 12.3 y la 12.3.2 y entre la 12.4.2 yla 12.4.5). Según explicaron sus desarrolladores, esta herramienta explota unavulnerabilidad zero-day presente en el kernel de iOS.
A finales de mayo se publicó información de un zero-day en elservicio de autenticación de Apple que permitía a un atacante tomar el controlde aquellas cuentas que lo tuviesen implementado. Este servicio es utilizadopor usuarios de dispositivos Apple para iniciar sesión en páginas web yaplicaciones, sin tener que crearse una cuenta para ese fin.
Robo de datos y filtraciones relacionadas con casos de ransomware
El aumento en el robo de datos y las filtraciones deinformación han seguido produciéndose durante las últimas semanas, tal y comovenimos observando desde hace meses. Buena parte de estas filtraciones estánrelacionadas con casos de ransomware, y es que los delincuentes empezaron ya afinales de 2019 a utilizar la amenaza de filtrar información robada antes decifrarla para conseguir que las empresas afectadas pagaran el rescate solicitado,una tendencia que no ha parado de aumentar desde entonces.
Uno de los casos sonados fue el de la aerolínea easyJet, queafectó a la información de nueve millones de sus clientes, entre los quetambién se encontraría la información de más de 2.000 tarjetas de crédito. Laempresa lanzó un comunicado confirmando que había sido víctima de unciberataque.
Como dato curioso, las tres empresas más importantes delmundo del videojuego también se vieron afectadas por filtraciones deinformación confidencial. Tanto Sony como Microsoft y Nintendo sufrieron lafiltración de información confidencial relacionada con su hardware y software.En el caso de Microsoft, la información filtrada consistiría en el códigofuente del sistema operativo de la primera Xbox y el de Windows NT 3.5,mientras que en el de Nintendo se habría filtrado información relacionada congeneraciones pasadas de consolas Nintendo, entre las que se encontraríanNintendo 64, GameCube y Wii.
Por su parte, Sony sufrió la filtración de imágenes y vídeoscon gameplay de uno de sus lanzamientos más esperados: “The last of us 2”. Enun principio se apuntó a que se podría tratar de una venganza de algún empleadodescontento de Naughty Dog, la desarrolladora del juego, por las malascondiciones de trabajo, que forzaba a los empleados a maratonianas jornadaslaborales.
Sin embargo, Sony confirmó el 1 de mayo que ningún empleadode Naughty Dog ni de Sony estaría involucrado en esta filtración y que todo habíasido obra de un grupo de ciberdelincuentes.