La gran actividad comercial y, más concretamente, el elevado número de compras online que se realizan por estas fechas hace que este periodo sea uno de los de mayor actividad para los ciberdelincuentes. No es extraño ver numerosos casos de tiendas online fraudulentas o correos y mensajes SMS o en redes sociales que ofrecen productos de todo tipo con suculentos descuentos que sirven de gancho para, principalmente, robar datos personales como los relacionados con las tarjetas de crédito.
Este año, además, hemos visto un considerable aumento de las estafas asociadas a llamadas por teléfono. El uso de inteligencia artificial y un mayor dominio de este tipo de estafas hace que la suplantación de identidad de todo tipo de empresas y organizaciones resulte más creíble que nunca para las víctimas. Este año también han proliferado las estafas de inversión, especialmente las relacionadas con criptomonedas, debido principalmente al aumento de valor que han experimentado durante las últimas semanas.
No obstante, no debemos olvidarnos de una amenaza recurrente, presente durante todos los meses del año y que se dirige, principalmente, a pequeñas y medianas empresas españolas. Estamos hablando de los ladrones de información o infostealers, que no han cesado su actividad durante noviembre y han continuado enviando miles de correos suplantando la identidad de empresas y organizaciones de todo tipo y adjuntando ficheros maliciosos.
Por desgracia, los delincuentes no tienen ningún reparo en aprovechar tragedias recientes y la DANA de Valencia no ha sido una excepción. Durante las semanas posteriores a estas terribles inundaciones se empezaron a detectar varios tipos de estafas, algunas relacionadas con webs fraudulentas que pedían donaciones y otras que suplantaban a la AEMET para propagar un troyano bancario en dispositivos Android.
Investigaciones sobre ciberataques
Durante el mes pasado Investigadores de ESET descubrieron una vulnerabilidad previamente desconocida en productos Mozilla siendo explotada por el grupo alineado con Rusia RomCom. Esta vulnerabilidad crítica ejecutar código en el contexto restringido del navegador y, encadenado con otra vulnerabilidad previamente desconocida en Windows, se podría ejecutar código arbitrario en el contexto del usuario conectado. De esta forma, un atacante podría llegar a ejecutar código malicioso en el sistema de la víctima sin que esta tuviera más interacción que navegar a una web que contenga el exploit. Entre las víctimas potenciales detectadas por la telemetría de ESET se encontrarían algunos usuarios españoles.
También durante noviembre, investigadores de ESET descubrieron una aplicación UEFI desconocida, llamada bootkit.efi, subida a VirusTotal. El análisis inicial confirmó que era un bootkit UEFI, llamado Bootkitty por sus creadores y, sorprendentemente, se trata de la primera amenaza de este tipo dirigida a Linux, en particular, a versiones Ubuntu. Este código malicioso contiene muchos artefactos que sugieren que se trata más de una prueba de concepto que del trabajo de un actor activo de amenazas. Aun así, conviene estar alerta para ver cómo evoluciona este proyecto y en qué tipo de ataques se observa en el futuro.
Otra de las investigaciones del equipo de ESET realizada durante el mes pasado tiene relación con el infame infostealer Redline. Los investigadores analizaron varios módulos previamente indocumentados para proporcionar información sobre el funcionamiento interno de esta amenaza, identificando más de 1.000 direcciones IP únicas utilizadas para alojar los paneles de control de RedLine. Gracias a este análisis se averiguó que las versiones 2023 de RedLine Stealer utilizaban Windows Communication Framework para la comunicación entre los componentes, mientras que la última versión de 2024 utiliza una API REST. Además, se pudo determinar que Redline Stealer y META Stealer comparten el mismo creador.
Por su parte, un actor de amenazas, apodado como Matrix, ha sido vinculado a una campaña de ataques DDoS a gran escala. Estos ataques aprovecharon vulnerabilidades y configuraciones incorrectas en dispositivos IoT, permitiendo su incorporación a una botnet para realizar actividades maliciosas. Las evidencias sugieren que la campaña fue llevada a cabo por un atacante solitario con habilidades técnicas limitadas que usa herramientas existentes. Los principales objetivos de los ataques han sido direcciones IP en China y Japón, además de otras ubicaciones menores como Argentina, Australia, Brasil, Egipto, India y Estados Unidos.
Tampoco debemos olvidar el ciberataque sufrido de nuevo por el CSIC a finales de noviembre, dos años después del anterior, que ha forzado a enviar a casa a más de 650 investigadores y administrativos ante la imposibilidad de trabajar adecuadamente.
Para estar al día sobre ataques dirigidos es importante consultar los informes que se publican periódicamente. Un ejemplo de ellos es el informe de actividad APT correspondiente al segundo y tercer trimestre de 2024, donde se resume las actividades destacadas de grupos de amenazas persistentes avanzadas documentadas por los investigadores de ESET desde abril de 2024 hasta finales de septiembre de 2024. Las operaciones destacadas son representativas del panorama más amplio de amenazas que investigamos durante este período, ilustrando las tendencias y desarrollos clave, y contienen sólo una fracción de los datos de inteligencia de ciberseguridad proporcionados a los clientes de los informes privados de APT de ESET.
