Las campañas de malware se ceban en octubre con los usuarios españoles

Los últimos meses del año suelen ser ajetreados en la industria de la ciberseguridad debido a la gran cantidad de eventos y anuncios que se producen. Si nos centramos en información relacionada con las tendencias del malware y el cibercrimen, también es una fecha importante, ya que ESET aprovecha el lanzamiento de las nuevas versiones de sus productos de ciberseguridad para presentar también aquellas investigaciones en las que ha estado trabajando el laboratorio de la compañía durante los últimos meses.

Las campañas de propagación de amenazas que tienen a los usuarios españoles entre sus principales objetivos no dejan de sucederse en los últimos meses y octubre no ha sido una excepción. Seguimos observando el uso de correos con adjuntos maliciosos en formato de documento de Office (normalmente.doc o.xls) para propagar nuevas variantes de Emotet, una tendencia en todo el mundo y que se reactivó tras el periodo estival para propagar este troyano bancario.

Sin embargo, en las últimas semanas también hemos observado otro tipo de malware que usa técnicas muy similares pero para propagar un keylogger conocido como Agent Tesla y que, junto a Turquía (lugar de procedencia de este malware) ha tenido a España como principal objetivo. Este malware viene camuflado como un archivo.doc y es enviado desde direcciones de email de empresas españolas legítimas, por lo que es muy probable que el receptor abra ese documento. Si lo hace y permite la ejecución de macros, se ejecutará un exploit para la conocida vulnerabilidad CVE-2017-11882 que, a pesar de tener dos años de antigüedad, sigue muy vigente debido al elevado número de instalaciones de MS Office sin parchear que siguen existiendo hoy en día. Finalmente, se descargará en el sistema de la víctima una variante del mencionado keylogger Agent Tesla, lo que dejará el sistema y la información almacenada al alcance de los delincuentes.

Otro tipo de amenaza que se ha venido prodigando desde hace tiempo es el conocido como fraude del CEO. Precisamente este mes conocimos una operación de la Guardia Civil que finalizó con la detención de tres personas acusadas de perpetrar este fraude y haber conseguido más de diez millones de euros estafando a 12 empresas extranjeras.

Octubre es el mes elegido por ESET para dar a conocer sus investigaciones más recientes a medios de comunicación de todo el mundo en un evento pensado especialmente para la prensa. Entre las investigaciones publicadas encontramos, por ejemplo, el descubrimiento de Attor, una plataforma de ciberespionaje utilizada en ataques dirigidos contra usuarios preocupados por su privacidad en misiones diplomáticas e instituciones gubernamentales.

Asimismo, investigadores de la compañía descubrieron varias actualizaciones realizadas con el arsenal de malware y las campañas de Winnti, un grupo conocido por sus ataques mediante la cadena de suministro.

En lo que respecta a dispositivos conectados, se publicó el resultado de una investigación que confirmaba la existencia de versiones de los productos de Amazon Echo y Kindle vulnerables a KRACK, una vulnerabilidad en el protocolo de seguridad de redes Wi-Fi descubierta en 2017.

También pudimos comprobar cómo el grupo de ciberespionaje 'The Dukes', del que muchos pensaban que ya había cesado su actividad tras conseguir infiltrarse en las comunicaciones del Comité Nacional Demócrata de los Estados Unidos, seguía activo y comprometiendo blancos gubernamentales mientras se mantenía alejado de los focos de atención.

Una de las ingeniosas técnicas de los delincuentes para conseguir nuevas víctimas también fue revelada en el encuentro del laboratorio de ESET con prensa procedente de todo el mundo. Se trata de una versión troyanizada del navegador Tor distribuida por ciberdelincuentes como aparentemente legítima en el mercado ruso y cuyo principal objetivo era robar bitcoins de aquellos usuarios que usan este tipo de criptomonedas para comprar artículos y/o servicios en la darkweb.

Por último, los investigadores de ESET han anunciado el descubrimiento de una campaña de adware activa desde hace un año en Google Play y que incluía a 42 aplicaciones, llegando incluso a rastrear a su operador. Las aplicaciones involucradas, instaladas ocho millones de veces, usan varios trucos para no ser detectadas y para lograr persistencia en los dispositivos que conseguían infectar.