El Mundial de fútbol lleva a los ciberdelincuentes a centrar sus objetivos en el este de Europa

En el otro lado del mundo, los bancos latinoamericanos sufren una racha de ciberataques en forma de phishing, estafas y filtraciones de tarjetas de crédito

Madrid, 1 de agosto de 2018.- El mes de julio que acaba de terminar ha sido un mes intenso en lo que a detección de amenazas y ciberataques se refiere. Los delincuentes no descansan ni en vacaciones y eso ha quedado bien demostrado en la gran cantidad de incidentes que hemos analizado durante las últimas semanas en el laboratorio de ESET.

Antes de que empezara el Mundial de fútbol celebrado en Rusia ya avisábamos de que se podría aprovechar este evento por parte de los delincuentes para conseguir sus objetivos. Así lo vimos en varios casos como, por ejemplo, el que consiguió comprometer durante un par de días la web oficial del conocido software para compartir escritorio remoto Ammyy Admin.

Las investigaciones realizadas a principios de julio demostraron que durante los días 13 y 14 de junio se comprometieron los instaladores de esta aplicación que se encontraban en la web legítima. Esto permitió a los delincuentes introducir un malware bancario y un troyano en el instalador y, además, utilizaron un dominio con una nomenclatura que hacía mención al Mundial de fútbol como fachada para esconder su red de comunicaciones maliciosas.

El mismo tema fue utilizado también en una campaña destinada a los soldados del ejército de Israel que a principios de año utilizó aplicaciones camufladas como apps de citas. Tras descubrirse numerosos casos de personal afectado, los atacantes decidieron cambiar la temática de estas aplicaciones al Mundial de fútbol conforme se acercaba la fecha de celebración del evento.

Pero si hay un país que ha estado en el ojo del huracán en cuanto a ciberataques recientes, este es, sin lugar a dudas, Ucrania. A principios de julio, el Servicio de Seguridad de Ucrania alertó de haber recibido y bloqueado un ataque que tenía como objetivo a una planta de destilación de cloro. Al parecer, los atacantes habrían usado la amenaza VPNFilter detectada a finales de mayo para intentar conseguir su objetivo, aunque, según las autoridades de Ucrania, no habría tenido éxito.

Además, a mediados de julio ESET publicó los resultados de una investigación realizada durante los últimos meses, y en la que se analizaron una serie de herramientas de acceso remoto usadas por los atacantes en una campaña de espionaje que sigue en curso. Las muestras de malware analizadas responden a los nombres de Quasar, Sobaken y Vermin, y están funcionando desde mediados de 2017, usando para su propagación archivos adjuntos en correos electrónicos camuflados como documentos Word y archivos comprimidos autoextraíbles junto a técnicas de ingeniería social básica.

Otra investigación de ESET publicada en julio demostró que dos familias de malware con objetivos en Asia estaban utilizando certificados digitales legítimos pertenecientes a empresas de Taiwán para pasar inadvertidos y saltarse algunas medidas de seguridad. Estas amenazas tenían funcionalidades de robo de credenciales y backdoor, por lo que han podido ser usadas para robar información confidencial en empresas y organismos oficiales de esa región.

Un vector de ataque aparentemente sencillo, pero que también fue utilizado en julio para propagar en dispositivos móviles una campaña de robo de credenciales y encuestas maliciosas, es el de un supuesto vídeo propagado a través de Facebook Messenger para redirigir a los usuarios a una web que simulaba ser la usada para acceder a Facebook. A partir de ese momento, las víctimas solo recibían una serie de encuestas online que sirven para recopilar más datos personales.

Los bancos, objetivo importante durante julio

Durante el pasado mes también se han producido numerosos incidentes relacionados con la ciberseguridad y las entidades bancarias, especialmente en Latinoamérica. Además de los habituales casos de phishing que suelen tener en su punto de mira a los usuarios de la banca online, se produjeron varios casos en los que las víctimas fueron las propias entidades bancarias.

Uno de los casos más sonados fue el de una estafa informática que afectó al Banco de Chile, donde un empleado realizó, al menos durante un año, transferencias no autorizadas por valor de 475 millones de pesos chilenos (cifra que supera los 700.000 dólares) haciéndolas pasar por operaciones legítimas.

Este banco ya sufrió un incidente a finales de mayo, cuando fueron sustraídos 10 millones de dólares mediante un ciberataque que utilizó varias transferencias bancarias en una operación sofisticada en la que se utilizó un código malicioso. En esta ocasión, sin embargo, fue obra de un empleado que consiguió engañar a sus superiores para realizar estas transferencias sin levantar sospechas.

Pero el incidente realmente grave fue el que afectó a las entidades bancarias de Chile y tuvo lugar el 25 de julio, cuando se produjo una filtración masiva de datos de tarjetas de crédito que afectó a más de 14.000 cuentas pertenecientes a 18 entidades bancarias de ese país. Tras esta filtración se encuentra aparentemente el grupo TheShadowBrokers, ya que ellos fueron los que publicaron el enlace a Mega donde se encontraban estos datos.

Móviles, videojuegos y criptodivisas

El caso anterior no fue el único ejemplo de filtraciones de tarjetas de crédito, ya que de nuevo otra investigación de ESET descubrió cómo se estaban distribuyendo en Google Play aplicaciones fraudulentas que se hacían pasar por otras de banca online pertenecientes a entidades de la India. Los delincuentes no solo robaban los datos de las tarjetas de crédito, sino que además los almacenaban en un servidor desprotegido que permitía a cualquiera que conociese su ubicación acceder a esta información sin que fuera necesario una autenticación previa.

En lo que respecta a la parte más lúdica de la tecnología, Fortnite Battle Royale sigue siendo el juego del momento, y esto es algo que no pasa desapercibido para los ciberdelincuentes. Ya sea en su versión para móvil o en la de escritorio, el gancho es lo suficientemente atractivo como para que los usuarios descarguen aplicaciones desde sitios con poca reputación o pulsen sobre enlaces que prometen darles ventajas considerables en el juego.

Esta fiebre está aprovechándose para robar credenciales de usuarios desprevenidos o para conseguir propagar campañas de anuncios maliciosos entre aquellos que buscan la esperada versión para Android de Fortnite, versión que está prevista que aparezca en las próximas semanas. Como ya hemos visto en ocasiones anteriores, con un gancho lo suficientemente potente es posible propagar campañas con una gran variedad de amenazas durante un periodo considerable de tiempo.

Internet de las cosas y ataques tradicionales

La inseguridad que afecta a millones de dispositivos del llamado Internet de las cosas es un problema serio y que provoca numerosos incidentes. El pasado mes el laboratorio de ESET observó varios ejemplos, como el que afectaba a miles de dispositivos de grabación DVR de la marca Dahua. Al parecer, todos los dispositivos comprometidos encontrados tendrían una vulnerabilidad existente desde hace nada menos que cinco años y que permite saltarse el proceso de autenticación y obtener las credenciales de los usuarios, cambiar las contraseñas y otras acciones a través del puerto 37777.

Otro ejemplo de la inseguridad que presentan muchos de estos dispositivos lo tenemos en el ataque dirigido a routers del fabricante Huawei, que habría conseguido comprometer 18.000 de estos equipos en solo unas horas utilizando un único exploit que se aprovecha de una vulnerabilidad de 2017. El mismo atacante estaría preparando una acción similar, pero esta vez contra routers del fabricante Realtek.

Pero, por desgracia, no hace falta que se utilicen este tipo de estrategias cuando otras mucho más veteranas siguen surgiendo efecto. Los casos de phishing que suplantan webs legítimas por otras fraudulentas siguen teniendo éxito, tal y como vimos en el caso de un nuevo phishing de Apple que analizamos el pasado mes. A pesar de que la web fraudulenta estaba bastante bien hecha, los datos solicitados y algunos puntos del correo utilizado como gancho deberían hacer sospechar al usuario que lo recibiera, y aun así hay muchos que siguen cayendo en este tipo de trampas.

Sin embargo, sí que ha habido un caso que nos ha llamado la atención, y ha sido por combinar técnicas de extorsión con el aprovechamiento de credenciales filtradas en alguna fuga masiva de datos. Colocar el nombre de usuario y la contraseña usada en algún servicio online en el asunto del correo puede ser una potente llamada de atención para leer el contenido de ese mensaje. En dicho correo se amenaza con difundir a nuestros contactos un supuesto vídeo grabado mientras se visualizaba contenido pornográfico, y para evitar esta difusión se solicita el pago de una cantidad en bitcoins.

A pesar de que esta campaña no ha tenido mucho éxito recaudando dinero mediante la extorsión, representa una innovación importante en este tipo de amenazas tradicionales”, comenta Josep Albors, responsable de investigación y concienciación de ESET España. “Haber utilizado contraseñas comprometidas para llamar la atención de la víctima es una estrategia muy interesante y que tendremos que vigilar de cerca, puesto que es bastante probable que la veamos en futuras campañas de propagación de amenazas o robo de información”, concluye Albors.