Barómetro de ESET

Emotet y la vulnerabilidad de Microsoft, las principales amenazas del inicio de 2020

274
phishing

El año 2020 ha comenzado con un protagonista claro en el mundo de la seguridad: el malware Emotet. Según ha comprobado el laboratorio ESET, ha vuelto a la carga con una serie de campañas que lo posicionan como una de las amenazas a tener en cuenta en los próximos meses. Además, las vulnerabilidades en productos de Microsoft volvieron a cobrar protagonismo durante las últimas semanas junto a varias campañas de phishing.

A mediados de enero, se volvió a detectar un envío masivo de correos electrónicos maliciosos que propagaban este malware. Desde entonces, ESET ha estado haciendo un seguimiento de las nuevas variantes enviadas por los delincuentes para tratar de conseguir nuevas víctimas. Muchos de los correos analizados contenían asuntos y plantillas con referencias a facturas o documentos similares. Sin embargo, también se han observado numerosos casos que aprovechan asuntos y cadenas de mensajes antiguas obtenidas desde cuentas de correo comprometidas.

Entre los casos más destacados, se encontró un correo dirigido a 600 direcciones de email correspondientes a miembros de las Naciones Unidas. En ese mensaje, los delincuentes suplantan la identidad de la Misión Permanente de Noruega en esa organización internacional. Por otro lado, en los últimos días, el uso del coronavirus 2019-nCoV como asunto y plantilla también ha empezado a usarse en países como Japón y no sería de extrañar que empezase a verse también en otros países.

En lo relativo a España, nuestro país ha estado en el punto de mira de los delincuentes, especialmente, durante la semana del 13 al 19 de enero, cuando se observaron picos de detección cercanos al 20 % del total de amenazas durante esos días relacionados con Emotet.

Algunas vulnerabilidades críticas en varios sistemas Windows de Microsoft

También en el mes de enero, en el que Windows 7 ha dejado de tener soporte oficial, se ha detectado problemas de seguridad en Microsoft. En un movimiento sin precedentes, la NSA informó a Microsoft de la existencia de una vulnerabilidad crítica en varios sistemas Windows del tipo spoofing que afectaba a Microsoft CryptoAPI.

Esto permitiría a un atacante utilizar un código de certificado de firma fraudulento para así introducir un ejecutable malicioso y camuflarlo de forma que parezca venir desde una fuente de confianza. Esta vulnerabilidad fue solucionada poco tiempo después, justo cuando empezaba a ser explotada por diversos atacantes.

Tampoco fue la única vulnerabilidad en soluciones de Microsoft descubierta en enero. Otras dos vulnerabilidades consideradas también como críticas permitían a un atacante ejecutar un código de forma remota en servidores RDP y acceder a una red sin necesidad de tener que pasar por un proceso de autenticación.

Para terminar el mes, la empresa de Redmond confirmó que los registros de 250 millones de clientes del soporte técnico de Microsoft quedaron expuestos. Aunque no se haya detectado todavía un uso malicioso de estos datos y, en la mayoría de casos, no se haya expuesto información que permita identificar personalmente a cada uno de los clientes, la empresa ha decidido informar acerca de este incidente como acto de transparencia.

El phishing sigue presente, pese a que es relativamente fácil evitarlo

Otra de las amenazas clásicas que sigue muy presente es el phishing o suplantación de identidad. ESET ha comprobado en los últimos meses cómo el número de incidencias relacionadas con el phishing se ha mantenido elevado, a pesar de que es relativamente fácil adoptar medidas para evitarlo.

Un clásico del phishing es el que se hace pasar por Netflix y nos invita a introducir nuestros datos de acceso y la información de nuestra tarjeta de crédito en una web que suplanta a la original. Esta campaña se propagó entre usuarios españoles y de Latinoamérica a principios de mes y, aunque no estuviese especialmente elaborada, seguramente consiguió los datos de más de un usuario desprevenido.

Los delincuentes también aprovechan ciertas fechas para tematizar sus campañas de phishing. A principios de año se detectectaron dos campañas con una temática parecida, que hacía referencia a la recepción de un paquete. La primera de ellas nos instaba a abonar el pago de un euro en concepto de envío de un Macbook Pro supuestamente obtenido en un sorteo. Por otra parte, un correo simulando provenir de Correos también nos invitaba a acceder a una web para realizar un pago que permitiese la entrega de un paquete. En ambos casos, la finalidad última era obtener los datos de la tarjeta de crédito de la víctima.

También la conocida red social de perfiles profesionales LinkedIn fue suplantada en otra campaña de phishing a finales de mes. Esta red es uno de los objetivos favoritos de los delincuentes por la cantidad de perfiles y datos interesantes que se pueden obtener en ella. Sin embargo, esta campaña estaba plagada de fallos: falta de personalización del mensaje, errores gramaticales e incluso un enlace a un sitio web falso que en nada se parecía al real. Esta circunstancia ha reducido su proyectada eficacia.