Resumen amenazas octubre de 2023Escrito por Redacción TNI el 15/11/2023 a las 19:29:59845
La utilización de credenciales robadas previamente se ha convertido en una de las formas predilectas usadas por los delincuentes para acceder a robar información confidencial de las empresas. Para conseguir estas credenciales, los delincuentes utilizan varias técnicas, y en España, una de las más usadas consiste en infectar a la víctima con herramientas maliciosas de control remoto.
Durante el mes pasado vimos varios de estos casos, la mayoría protagonizados por amenazas ya conocidas que continúan teniendo a nuestro país entre sus objetivos preferidos y con plantillas de correo que han demostrado su efectividad en ocasiones anteriores para atraer a posibles víctimas. Un ejemplo de esto lo tenemos con los correos con asuntos relacionados con el pago de impuestos, ya sea haciendo referencia al pago del IVA o, directamente, a la Agencia Tributaria.
Los correos con supuestas facturas dirigidas a empresas de todo tipo siguen siendo una de las estrategias preferidas de los delincuentes, sabedores que, si los preparan bien, pueden pasar por emails legítimos y hacer que sea más fácil que un usuario que reciba uno de estos correos pulse sobre el enlace incluido o abra el fichero adjunto. Este tipo de correos maliciosos pueden adjuntar directamente un fichero ejecutable dentro de un archivo comprimido o usar vulnerabilidades antiguas en ficheros de MS Office para descargar malware en el sistema de la víctima, confiando en que esta no habrá aplicado los parches de seguridad pertinentes.
Tampoco debemos olvidar la técnica de suplantar a empresas conocidas de varios ámbitos. Durante el mes pasado hemos visto varios ejemplos, destacando el de la suplantación de identidad de la empresa especializada en material de bricolaje Würth y la transportista DHL.
Una vez conseguido infectar el sistema, estas amenazas están especializadas en recolectar todo tipo de credenciales almacenadas en aplicaciones de uso cotidiano tales como navegadores de Internet o clientes de correo, credenciales que luego son enviadas de vuelta a los criminales para que puedan usarlas en futuros ataques o las vendan a otros delincuentes.
Phishing y troyanos bancarios
A pesar de que las herramientas maliciosas de control remoto siguen protagonizando las campañas relacionadas con el robo de información, los delincuentes también utilizan otras técnicas y amenazas para obtener datos privados de usuarios y empresas. Un ejemplo lo tenemos en la suplantación de identidad sufrida por la aerolínea española Iberia detectada durante el mes pasado, y que usando un mensaje SMS redirigía a un portal fraudulento que se hacía pasar por el de Iberia Cards para intentar robar así los datos relacionados con la tarjeta de crédito emitida por esta compañía.
Otras amenazas que siguen estando muy presentes afectando a usuarios españoles son los troyanos bancarios con origen en Latinoamérica. Estas familias de troyanos llevan prácticamente cuatro años lanzando una campaña tras otra con la intención de robar credenciales de acceso a la banca online, y durante este periodo han usado plantillas de correo de lo más variopintas, incluyendo algunas, como las observadas durante octubre, que hacen referencia a supuestas facturas de la luz y que proporcionan un enlace para descargar el código malicioso que inicia la cadena de infección en el sistema de la víctima.
Informe sobre la cibercriminalidad en España e investigaciones de ESET
En octubre, el Ministerio del Interior publicó un completo informe sobre la cibercriminalidad en España, informe con datos muy interesantes y que revela información acerca de los tipos de ciberdelitos, quién los sufre y quién los realiza en nuestro país. En dicho informe pudimos comprobar que los ciberdelitos siguen creciendo año tras año y cómo estos ya suponen un porcentaje importante del total de delitos cometidos en España, a pesar de que muchos de estos delitos no se denuncian y, por tanto, no aparecen reflejados en este informe.
Por parte de ESET, durante el mes pasado se publicaron los informes correspondientes a varias investigaciones, como la detección de una campaña de phishing dirigida a una entidad gubernamental en Guyana. Si bien no se pudo vincular la campaña, que llamamos Operación Jacana, con ningún grupo APT específico, el equipo de investigadores cree con bastante certeza que un grupo de amenazas alineado con China estaría detrás de este incidente.
El pasado mes octubre, investigadores de ESET, durante su revisión periódica de las operaciones de ciberespionaje de Winter Vivern, descubrieron que el grupo comenzó a explotar una vulnerabilidad de día cero de tipo XSS en el servidor de Roundcube Webmail. ESET descubrió la vulnerabilidad el 12 de octubre e informó de inmediato al equipo de Roundcube, que la parcheó y lanzó actualizaciones de seguridad poco después, el 14 de octubre. El equipo de investigación de ESET, ESET Research, recomienda actualizar Roundcube Webmail a la última versión disponible lo antes posible.
Por último, a finales del mes pasado se publicó el informe de actividad de ESET APT correspondiente al segundo y tercer trimestre de 2023, el cual proporciona una visión general de las actividades de los grupos APT seleccionados, investigados y analizados por ESET Research. Noticias Relacionadas:Los ciberdelincuentes no se van de vacaciones Cómo detectar y evitar el ciberacoso en el colegio |