A la hora de robar información, el uso de credenciales robadas se ha convertido en una de las formas favoritas utilizadas por los delincuentes. Para acceder a esas credenciales, los atacantes suelen utilizar diferentes métodos y técnicas, siendo una de las más habituales infectar el equipo de la víctima con un virus sin que esta se de cuenta.
El mes pasado presenciamos varios incidentes de este tipo, la mayoría protagonizados por amenazas ya identificadas que siguen considerando a nuestro país como uno de sus objetivos principales. Utilizan plantillas de correo que han demostrado su eficacia en el pasado para atraer posibles víctimas. Un ejemplo de esto se refleja en los correos electrónicos con asuntos relacionados con el pago de impuestos, ya sea haciendo referencia al IVA o directamente a la Agencia Tributaria.
Los correos que presentan facturas supuestamente dirigidas a empresas de diversos sectores siguen siendo una de las estrategias preferidas por los ciberdelincuentes. Son conscientes de que, si los diseñan cuidadosamente, pueden pasar como correos legítimos y aumentar la probabilidad de que los destinatarios hagan clic en los enlaces incluidos o abran los archivos adjuntos. Estos correos maliciosos pueden contener directamente archivos ejecutables dentro de un archivo comprimido o aprovechar vulnerabilidades obsoletas en documentos de MS Office para descargar malware en el sistema de la víctima, asumiendo que esta no ha aplicado las actualizaciones de seguridad necesarias.
También es importante mencionar la técnica de suplantación de identidad de empresas reconocidas en diversos sectores. En el último mes, hemos observado varios ejemplos de esto, siendo especialmente destacables los intentos de suplantación de la empresa especializada en material de bricolaje Würth y la empresa de transporte DHL.
Una vez conseguido infectar el sistema, estas amenazas están especializadas en recolectar todo tipo de credenciales almacenadas en aplicaciones de uso cotidiano tales como navegadores de Internet o clientes de correo, credenciales que luego son enviadas de vuelta a los criminales para que puedan usarlas en futuros ataques o las vendan a otros delincuentes.
Phishing y troyanos bancarios
A pesar de que las herramientas maliciosas de control remoto siguen protagonizando las campañas relacionadas con el robo de información, los delincuentes también utilizan otras técnicas y amenazas para obtener datos privados de usuarios y empresas. Un ejemplo lo tenemos en la suplantación de identidad sufrida por la aerolínea española Iberia detectada durante el mes pasado, y que usando un mensaje SMS redirigía a un portal fraudulento que se hacía pasar por el de Iberia Cards para intentar robar así los datos relacionados con la tarjeta de crédito emitida por esta compañía.
Otras amenazas que siguen estando muy presentes afectando a usuarios españoles son los troyanos bancarios con origen en Latinoamérica. Estas familias de troyanos llevan prácticamente cuatro años lanzando una campaña tras otra con la intención de robar credenciales de acceso a la banca online, y durante este periodo han usado plantillas de correo de lo más variopintas, incluyendo algunas, como las observadas durante octubre, que hacen referencia a supuestas facturas de la luz y que proporcionan un enlace para descargar el código malicioso que inicia la cadena de infección en el sistema de la víctima.
Informe sobre la cibercriminalidad en España e investigaciones de ESET
En octubre, el Ministerio del Interior publicó un completo informe sobre la cibercriminalidad en España, informe con datos muy interesantes y que revela información acerca de los tipos de ciberdelitos, quién los sufre y quién los realiza en nuestro país. En dicho informe pudimos comprobar que los ciberdelitos siguen creciendo año tras año y cómo estos ya suponen un porcentaje importante del total de delitos cometidos en España, a pesar de que muchos de estos delitos no se denuncian y, por tanto, no aparecen reflejados en este informe.
Por parte de ESET, durante el mes pasado se publicaron los informes correspondientes a varias investigaciones, como la detección de una campaña de phishing dirigida a una entidad gubernamental en Guyana. Si bien no se pudo vincular la campaña, que llamamos Operación Jacana, con ningún grupo APT específico, el equipo de investigadores cree con bastante certeza que un grupo de amenazas alineado con China estaría detrás de este incidente.
El pasado mes octubre, investigadores de ESET, durante su revisión periódica de las operaciones de ciberespionaje de Winter Vivern, descubrieron que el grupo comenzó a explotar una vulnerabilidad de día cero de tipo XSS en el servidor de Roundcube Webmail. ESET descubrió la vulnerabilidad el 12 de octubre e informó de inmediato al equipo de Roundcube, que la parcheó y lanzó actualizaciones de seguridad poco después, el 14 de octubre. El equipo de investigación de ESET, ESET Research, recomienda actualizar Roundcube Webmail a la última versión disponible lo antes posible.
Por último, a finales del mes pasado se publicó el informe de actividad de ESET APT correspondiente al segundo y tercer trimestre de 2023, el cual proporciona una visión general de las actividades de los grupos APT seleccionados, investigados y analizados por ESET Research.