Análisis de seguridad en Mayo
En mayo hemos continuado viviendo la situación excepcional de pandemia provocada por la COVID-19, una realidad que los delincuentes no han dudado en explotar, no tanto como temática, sino para seguir aumentando la distribución de sus amenazas.
Tal y como viene siendo costumbre durante los últimos meses, el laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha observado que el correo electrónico ha sido uno de los vectores de ataque más utilizados por los delincuentes a la hora de lanzar sus campañas de propagación de amenazas. Este vector ha sido aprovechado por varios grupos de delincuentes tal y como sucedió durante el mes de abril.
Por un lado se han seguido observando campañas de propagación de troyanos bancarios de origen brasileño, con un protagonismo especial para los delincuentes detrás del troyano Mekotio. Además, han sido numerosas las campañas en las que se ha tenido como objetivo, entre otros, a usuarios de banca online españoles con una manera de actuar característica. En las campañas observadas durante el mes de mayo, los delincuentes también usaron correos con supuestas facturas para conseguir que los usuarios se descargaran y ejecutasen un archivo comprimido que dentro contenía un ejecutable con malware. También se observó una campaña similar que suplantaba la entidad bancaria Cajamar.
Por otro lado, los delincuentes también han aprovechado el momento para suplantar a alguna empresa conocida como Vodafone u organizaciones estatales como la Agencia Tributaria para intentar convencer al usuario de que debe descargarse un fichero con información importante. Este archivo es en realidad un malware que busca robar los datos de acceso a la banca online y sustraer así el dinero almacenado en su cuenta.
“Después de unos meses en casa, ahora, con la vuelta al trabajo progresiva que están llevando a cabo numerosas empresas durante estas semanas, hay que estar más atentos si cabe a las amenazas que están propagándose y así evitar que el acceso a la ‘nueva normalidad’ sea más difícil de lo que ya es”, aconseja Josep Albors, responsable de concienciación e investigación de ESET España.
De forma similar, aunque con objetivos más variados, se han observado numerosas campañas protagonizadas por la herramienta de control remoto Agent Tesla. Esta herramienta viene utilizándose desde hace tiempo por grupos de delincuentes para acceder a sistemas comprometidos y sustraer información de todo tipo.
El laboratorio de ESET también analizó varios casos de phishing durante el mes de mayo, aunque el más llamativo fue uno dirigido a vendedores que utilizan la plataforma de Amazon para vender sus productos. Asimismo, los delincuentes volvieron a suplantar a Correos España mediante el envío de un SMS y una web utilizada para intentar robar los datos de las tarjetas de crédito.
Amenazas y vulnerabilidades en móviles
El mes de mayo también fue especialmente intenso en lo que se refiere a amenazas y fallos de seguridad en dispositivos móviles Android e iPhone. Por un lado, los delincuentes siguieron con sus campañas de propagación de troyanos bancarios aprovechando el uso cada vez más intenso que hacen los usuarios de las aplicaciones de banca online.
Así pues, vimos cómo los troyanos bancarios seguían propagándose durante las últimas semanas, algunos de ellos usando temáticas relacionadas con la COVID-19, como mapas de propagación de la enfermedad o aplicaciones sanitarias. La mayoría de muestras detectadas que afectaron a usuarios españoles pertenecían a las familias Cerberus o Anubis, unos tipos de malware que han experimentado un notable aumento de actividad durante los últimos meses.
También pudimos comprobar cómo los delincuentes ya utilizan de forma habitual las técnicas de overlay o superposición de pantalla para engañar a los usuarios suplantando a las apps bancarias para robar sus credenciales de acceso. Durante el mes de mayo observamos cómo los delincuentes se hicieron pasar por el Ministerio de Sanidad para propagar un troyano haciéndolo pasar como una aplicación oficial para realización de una autoevaluación de la COVID-19.
Investigadores de ESET descubrieron, por otro lado, una aplicación maliciosa para Android utilizada para lanzar ataques de denegación de servicio (DDoS). Gracias a que el propio sitio web de ESET era el objetivo de esos ataques, los investigadores pudieron identificar la aplicación, analizarla e informar a Google, que rápidamente la eliminó de Play Store.
En Android se detectó una vulnerabilidad crítica, apodada StrandHogg 2.0, que permitiría a aplicaciones maliciosas hacerse pasar por legítimas para robar información sensible de los usuarios al solicitar el ingreso de credenciales de acceso u otro tipo de información. Esta vulnerabilidad afectaría a todos los dispositivos que funcionan con versión 9.0 o anteriores. Google ya anunció que empezaría a lanzar un parche que corrige el fallo de seguridad el mismo mes de mayo.
Por su parte, Apple también tuvo que hacer frente a problemas de seguridad en sus dispositivos con iOS. El pasado 23 de mayo se anunció una nueva herramienta que permite realizar jailbreak en iPhone y en todos los dispositivos de Apple que utilicen las versiones 11 a 13.5 de su sistema operativo (salvo en las versiones entre la 12.3 y la 12.3.2 y entre la 12.4.2 y la 12.4.5). Según explicaron sus desarrolladores, esta herramienta explota una vulnerabilidad zero-day presente en el kernel de iOS.
Además, cuando estaba a punto de terminar el mes se publicó información de un zero-day en el servicio de autenticación de Apple que permitiría a un atacante tomar el control de aquellas cuentas que lo tuviesen implementado. Este servicio es utilizado por usuarios de dispositivos Apple para iniciar sesión en páginas web y aplicaciones, sin tener que crearse una cuenta para ese fin.
Las filtraciones no cesan
El aumento en el robo de datos y las filtraciones de información han seguido produciéndose durante las últimas semanas, tal y como venimos observando desde hace meses. Buena parte de estas filtraciones están relacionadas con casos de ransomware, y es que los delincuentes empezaron ya a finales de 2019 a utilizar la amenaza de filtrar información robada antes de cifrarla para conseguir que las empresas afectadas pagaran el rescate solicitado, una tendencia que no ha parado de aumentar desde entonces.
Uno de los casos sonados fue el de la aerolínea easyJet, que afectó a la información de nueve millones de sus clientes, entre los que también se encontraría la información de más de 2.000 tarjetas de crédito. La empresa lanzó un comunicado confirmando que había sido víctima de un ciberataque que provocó este robo de información.
Como dato curioso, las tres empresas más importantes del mundo del videojuego también se vieron afectadas por filtraciones de información confidencial. Tanto Sony como Microsoft y Nintendo sufrieron la filtración de información confidencial relacionada con su hardware y software. En el caso de Microsoft, la información filtrada consistiría en el código fuente del sistema operativo de la primera Xbox y el de Windows NT 3.5, mientras que en el de Nintendo se habría filtrado información relacionada con generaciones pasadas de consolas Nintendo, entre las que se encontrarían Nintendo 64, GameCube y Wii.
Por su parte, Sony sufrió la filtración de imágenes y vídeos con gameplay de uno de sus lanzamientos más esperados: “The last of us 2”. En un principio se apuntó a que se podría tratar de una venganza de algún empleado descontento de Naughty Dog, la desarrolladora del juego, por las malas condiciones de trabajo que forzaba a los empleados a maratonianas jornadas laborales. Sin embargo, Sony confirmó el 1 de mayo que ningún empleado de Naughty Dog ni de Sony estaría involucrado en esta filtración y todo se trataría de la obra de un grupo de ciberdelincuentes.
