Relevo en las campañas de infostealers
Unas de las amenazas más recurrentes observadas en España y muchos otros países son todas aquellas protagonizadas por malware especializado en el robo de información o, como se les conoce comúnmente, infostealers. Desde hace tiempo, los delincuentes lanzan campañas recurrentes con la finalidad de obtener, entro otros objetivos, credenciales de acceso que luego se utilizan en ataques dirigidos.
Entre las familias más conocidas de este tipo de malware encontramos a Redline Stealer, una amenaza que ha estado entre los primeros puestos de detección de amenazas desde hace varios meses. Por ese motivo, debemos destacar la importante noticia que supuso el desmantelamiento de la infraestructura de los infostealers Redline y Meta, tras una operación policial llevada a cabo por la Policía Nacional Holandesa y otros socios internacionales como el FBI.
Este desmantelamiento ha provocado que otras familias de infostealers tomen el relevo y, durante el mes pasado, hemos detectado numerosas campañas dirigidas a España (y otros países de nuestro entorno como Italia) protagonizadas por Snake Keylogger. Esta amenaza sigue utilizando correos con supuestas facturas y presupuestos como principal vector de ataque, por lo que, en este sentido no han cambiado sus técnicas con respecto a las usadas por Redline.
Otra operación policial llevada a cabo esta vez por la Guardia Civil en el aeropuerto de Madrid-Barajas permitió la detención de uno de los principales responsables de la infraestructura del conocido ransomware Lockbit. Este malware ha afectado a alrededor de 2500 empresas en 120 países, siendo una de las amenazas más temidas por empresas y organizaciones de todo el mundo desde hace tiempo.
Ciberataque a Internet Archive y casos de phishing en España
Uno de los ciberataques más sonados del pasado mes de octubre fue el dirigido a The Internet Archive. Esta organización, considerada por muchos como la gran biblioteca de Internet, sufrió una brecha de seguridad que terminó comprometiendo los datos privados de 31 millones de usuarios. Por si fuera poco, esta organización también sufrió ataques DDoS que impedían el acceso a su web y, por ende, a la consulta de la información allí almacenada.
En lo que respecta a España, durante el mes pasado se observaron de nuevo numerosas campañas destinadas a robar información relacionadas con tarjetas de crédito. En estas campañas, los delincuentes volvieron a suplantar la identidad de una empresa de logística como es DHL, tanto en el correo electrónico usado como vector de ataque inicial como en la web maliciosa usada para tratar de robar los datos de las víctimas.
Tampoco debemos olvidar las nuevas técnicas usadas por los delincuentes en varios países europeos, como es el uso de códigos QR para suplantar la identidad de empresas responsables de la gestión de estaciones de carga de automóviles eléctricos. Los delincuentes utilizan códigos QR fraudulentos y los colocan encima de los auténticos para que los usuarios accedan a webs fraudulentas donde los usuarios les roban los datos de sus tarjetas de crédito.
Investigaciones de ESET
Octubre ha sido un mes prolífico en lo que respecta a investigaciones publicadas por expertos de ciberseguridad de ESET. El equipo de investigación de ESET descubrió que la red de estafadores detrás de Telekopye ha ampliado sus operaciones para dirigirse a los usuarios de plataformas populares de reserva de alojamiento como Booking.com y Airbnb. Este sofisticado conjunto de herramientas, operado desde un bot de Telegram, permite a grupos organizados de ciberdelincuentes crear estafas cada vez más creíbles y dirigidas, superando incluso la apariencia de las páginas originales. Telekopye es utilizado por docenas de grupos de estafadores con hasta miles de miembros para robar millones de euros a sus víctimas.
También el mes pasado, investigadores de ESET publicaron una investigación relacionada con una serie de ataques a una organización gubernamental en Europa utilizando herramientas capaces de atacar sistemas sin conexión a ninguna red. La campaña, que atribuimos a GoldenJackal, un grupo APT de ciberespionaje dirigido a entidades gubernamentales y diplomáticas, tuvo lugar entre mayo de 2022 y marzo de 2024. Al analizar el conjunto de herramientas desplegadas por el grupo, se pudo identificar un ataque que GoldenJackal llevó a cabo anteriormente, en 2019, contra una embajada del sur de Asia en Bielorrusia que, una vez más, se dirigió a los sistemas de protección aérea de la embajada con herramientas personalizadas.
Por último, en octubre, especialistas de ESET analizaron un conjunto de herramientas post-compromiso utilizado por el grupo APT Evasive Panda para atacar una entidad gubernamental y una organización religiosa en Taiwán entre 2022 y 2023. El conjunto de herramientas CloudScout es capaz de recuperar datos de varios servicios en la nube aprovechando las cookies de sesión web robadas. A través de un complemento, CloudScout funciona a la perfección con MgBot, el marco de malware de firma de Evasive Panda.
