Continúan las oleadas de phishing para correo electrónico

Aprovechando la crisis sanitaria, los ciberdelincuentes se hacen pasar por empresas de mensajería, según Eset. También están intentando aprovechar la campaña de la renta suplantando a la Agencia Tributaria, o a la inspección de Trabajo con los ERTE

Publicado el 06 May 2020

El phishing prolifera con la crisis sanitaria.Josep Albors, de Eset. Zoom sigue siendo objeto de ataques.

Con buena parte de la población mundial confinada en casa durante el pasado mes de abril y muchas empresas con sus empleados teletrabajando desde sus domicilios, las últimas semanas han deparado mucha actividad al sector de la ciberseguridad, como demuestra el último informe de Eset.

Si hay un vector de ataque que haya destacado estas últimas semanas sobre los demás es, sin lugar a dudas, el correo electrónico. Desde antes del confinamiento ya veíamos cómo los delincuentes estaban reactivando sus campañas de propagación de amenazas usando este tradicional método, y en el último mes esta tendencia se ha confirmado.

Eso sí, no ha habido tantas campañas intentando aprovecharse de la crisis sanitaria usando una temática relacionada con el Covid-19, o al menos no tantas dirigidas a usuarios españoles, como en el mes de marzo. Sin embargo, los delincuentes han seguido distribuyendo sucesivas oleadas de correos maliciosos con diferentes temáticas, algo que muy probablemente les haya reportado importantes beneficios a un coste bastante bajo.

Entre las campañas más destacadas encontramos las protagonizadas por la herramienta de control remoto (RAT por sus siglas en inglés) Netwire. Mediante el uso de supuestas facturas enviadas por e-mail e incluso suplantando a la empresa Correos Express, los delincuentes tratan de que los usuarios se descarguen un fichero malicioso desde un enlace alojado normalmente en algún servicio gratuito como Mediafire.

Otra familia de RAT, como Agent Tesla, también ha protagonizado numerosas campañas de propagación usando el correo electrónico y suplantando a empresas de mensajería. De la misma forma, el malware Trickbot (asociado con el robo de información) sí que ha seguido usando la temática del coronavirus para conseguir nuevas víctimas a las que infectar después de que estas abran los documentos con macros maliciosas que suele adjuntar.

Campañas centradas en España

Especialmente preocupante ha sido el incremento de campañas de correos maliciosos dirigidas a usuarios españoles durante el mes de abril. Una de las más destacadas ha estado protagonizada por el troyano bancario Grandoreiro, originario de Brasil y que desde hace unas semanas ha empezado a tener como objetivos a varios países europeos, entre los que destaca España.

Durante el pasado mes hemos visto cómo los delincuentes detrás de estas campañas han utilizado en repetidas ocasiones supuestas facturas pendientes de pago de empresas como Lucera o Iberdrola como gancho para que los usuarios descarguen y ejecuten el malware. De forma similar a Netwire, estás amenazas también se alojaban en servicios como Mediafire, aunque el malware de primera fase (el que se encarga de descargar el troyano bancario) suele estar alojado en dominios registrados por los delincuentes.

También hemos visto cómo se lanzaban otras campañas de malware muy específicas y que suplantaban, en este caso, a la Agencia Tributaria con motivo de la campaña de la renta que actualmente está activa; a la Seguridad Social, con un mensaje de un supuesto reembolso; o incluso al Ministerio de Trabajo, amenazando con una supuesta inspección.

Josep Albors, de Eset.
Josep Albors, de Eset.

“No es extraño ver que los delincuentes adaptan sus campañas a cada país o región” indica Josep Albors, responsable de investigación y concienciación de Eset España. “Sin embargo, hemos analizado varias campañas dirigidas a España con poco tiempo de diferencia y esto podría indicar que varios grupos criminales tienen a nuestro país en su punto de mira y quieren aprovecharse de la situación actual”.

Siguiendo con los ataques dirigidos especialmente contra usuarios españoles, durante el mes de abril hemos visto numerosos casos de phishing bancario que tenían como objetivo a clientes de banca online ubicados en España. Muchos de estos casos utilizaban mensajes SMS con un enlace acortado como vector de ataque, llegando a suplantar a entidades como el Banco Santander, Bankia o Bankinter.

Además, varias fuentes se hicieron eco de una campaña de propagación de malware de criptominería oculto en supuestos archivos que contendrían películas recientes y que estarían dirigidas a un público español o latinoamericano. Entre los ficheros usados como cebo por los delincuentes se encuentran tanto grandes éxitos de Hollywood como películas españolas de reciente estreno.

Los casos de sextorsión también volvieron a producirse durante el pasado mes de abril y, a pesar de tratarse de un mensaje en inglés, la magnitud de la campaña y el hecho de que esta se alargase durante varios días puso en alerta a más de un usuario, independientemente de su idioma nativo.

Zoom y Teams siguen siendo objetivo

Con un elevado número de trabajadores teletrabajando desde casa no era de extrañar que los delincuentes pusieran su atención en algunas de las herramientas que han experimentado un mayor incremento en su uso, tales como Zoom o Microsoft Teams. Durante el mes de marzo ya vimos cómo aparecían numerosas vulnerabilidades en Zoom y esta aplicación era objeto de varios ataques.

En el mes de abril se han ido sucediendo los incidentes de seguridad en esta aplicación, a la vez que sus responsables aplicaban los parches correspondientes. También supimos de la comercialización de dos exploits para Zoom que se aprovecharían de vulnerabilidades críticas. En el caso de uno de estos exploits, estaríamos ante un aprovechamiento de una vulnerabilidad que permitiría la ejecución remota de código y algunas fuentes apuntan a que se estaría ofreciendo más de medio millón de dólares por él.

Zoom sigue siendo objeto de ataques.
Zoom sigue siendo objeto de ataques.

Por su parte, Microsoft Teams solucionó otra vulnerabilidad que permitía obtener información confidencial de aquellas empresas que estuviesen usando esta solución con tan solo enviar un archivo GIF malicioso a un usuario. Esta vulnerabilidad era posible gracias a la existencia de dos dominios vulnerables, a los cuales un atacante podría redirigir a sus víctimas y recibir así su cookie de sesión para, seguidamente, crear un token de Skype y robar los datos relacionados con la cuenta de Teams de la víctima.

Por último, en abril también se publicaron dos graves vulnerabilidades para dispositivos iOS como el iPhone, gracias a las cuales un atacante podría comprometer la seguridad de estos dispositivos con tan solo enviar un email especialmente modificado al buzón de la víctima. Al parecer, estas dos vulnerabilidades habrían sido aprovechadas desde hace años para realizar una serie de ataques dirigidos a objetivos muy concretos.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

C
Redacción Channel Partner

Artículos relacionados

Artículo 1 de 2