Equifax, troyanos bancarios y Mac OS, foco informativo en septiembre

  • Reportajes

La vuelta al cole y a la rutina no ha tenido nada de especial para los ciberdelincuentes, que no se toman vacaciones según puede verse en un informe de ESET.

Los ciberdelincuentes no cierran por Navidad, ni tampoco cuando el calor aprieta. El incidente más destacado del mes de setiembre fue la brecha de seguridad sufrida por Equifax, que afectó a los datos de 143 millones de usuarios, lo que lo convirtió en uno de los ataques más importantes de los últimos años, no sólo por la cantidad de gente afectada, sino por la importancia de los datos robados por los atacantes. Este incidente de seguridad provocó la dimisión de los responsables de TI y de Seguridad de la empresa, y de su CEO días después.

Además de Equifax, Taringa, un conocido foro latinoamericano compuesto por millones de usuarios, fue comprometido y los atacantes consiguieron obtener detalles de más de 28 millones de cuentas, entre los que se incluyen nombres de usuario, direcciones de correo electrónico y las contraseñas con hash MD5.

Troyanización de aplicaciones y extorsión

También fue en septiembre cuando los instaladores de la herramienta CCleaner fueron modificados por otros con características maliciosas que se descargaron desde los servidores oficiales. Por suerte, esta suplantación sólo afectó a la versión de 32 bits, limitando bastante el alcance, puesto que la gran mayoría de sistemas operativos actuales son de 64 bits. Aun así, ESET llegó a detectar 338.000 detecciones a nivel mundial, situándose España en la décima posición de países más afectados.

En otro orden de cosas, una de las investigaciones más recientes de ESET demostró que el software malicioso conocido como FinFisher, utilizado para espiar a ciudadanos de varios países, estaría distribuyéndose con la ayuda de algunos proveedores de Internet (ISP) en varias regiones del mundo. En dos de los siete países en los que se han observado las variantes más recientes de FinFisher se ha comprobado que el ISP se encargaba de actuar como intermediario para, mediante técnicas de ‘man-in-the-middle’, conseguir instalar este malware en los dispositivos de las víctimas.

Troyanos bancarios ocultos en juegos para Android

El troyano bancario para Android Bankbot, que tanto ha dado que hablar en los últimos meses, apareció de nuevo en septiembre camuflándose como un juego para Android en la tienda oficial Google Play. Antes de ser eliminada de la tienda, esta aplicación maliciosa logró que alrededor de 5.000 usuarios la instalasen en sus dispositivos. El troyano realmente ejecuta un juego, pero también instala otras aplicaciones que solicitan permisos adicionales que permiten a los delincuentes descargar el malware Bankbot en el dispositivo Android de la víctima. Bankbot superpone una ventana cuando el usuario accede a Google Play y solicita los datos de la tarjeta de crédito (que son enviados a los delincuentes), además de obtener acceso a los mensajes SMS y así intentar evadir el doble factor de autenticación que muchas entidades bancarias ofrecen a sus usuarios.

Durante las últimas semanas se han visto numerosos casos de extorsión, normalmente mediante la propagación de ransomware con continuas y masivas campañas de spam. Sin embargo, también se han observado ciertas variaciones destacables. Por un lado, se han detectado extorsiones directas en las que los delincuentes amenazaban a empresas con realizar ataques de denegación de servicio. Por otro lado, también se observaron grupos de delincuentes que escaneaban Internet en busca de bases de datos MongoDB vulnerables. Seguidamente, intentaban acceder a ellas para hacer una copia de los datos, borrarlos del servidor y así solicitar un rescate de 0.15 bitcoines a la empresa.

Amenazas para macOS

Y también ha sido septiembre en el que se han visto más amenazas y vulnerabilidades para macOS de lo normal, algo que probablemente haya sido propiciado por el lanzamiento de la nueva versión High Sierra.

El mismo día del lanzamiento del nuevo sistema operativo de Apple, se publicó una vulnerabilidad que permitía a un atacante robar los nombres de usuario y contraseñas de las cuentas almacenadas en el llavero del sistema. Al parecer, las aplicaciones sin firmar instaladas en macOS High Sierra podrían acceder a este llavero y mostrar los usuarios y contraseñas almacenados en texto plano sin necesidad de pedir la contraseña maestra del usuario.

Además, se descubrió una vulnerabilidad en sistemas macOS anteriores a High Sierra que permite saltarse Quarantine, una de las características utilizadas por Apple para proteger a los usuarios de ciberataques y códigos maliciosos mediante el uso de una cuarentena en caso de detectar algo sospechoso.

Para complicar las cosas, y a pesar de que muchas veces estas vulnerabilidades se solucionan con una actualización, durante el último mes conocimos los resultados de un estudio que indicaba que muchos Mac fallan a la hora de instalar parches para el firmware EFI (utilizado para controlar el proceso de arranque antes de que se inicie el sistema operativo), o ni siquiera los reciben.

Minería de criptomonedas por parte de delincuentes

Ya se sabe que las criptomonedas han despertado el interés de los ciberdelincuentes, que han conseguido que sus víctimas minen criptomonedas sin su consentimiento simplemente al visitar una web y sin necesidad de instalar ningún malware ni software de minado.

En el punto de mira Monero, una criptodivisa que aunque tiene una cotización muy inferior a otras más conocidas, como Bitcoin, cuenta con otras características interesantes como el uso de CPU o GPU de máquinas no necesariamente potentes y la dificultad para rastrear sus transacciones.