Estas han sido las principales ciberamenazas durante el primer trimestre del año

  • Actualidad

La guerra de Ucrania ha sido protagonista de las ciberamenazas detectadas durante los tres primeros meses del año por Infoblox, que ha detectado un gran número de estafas relacionadas con la crisis humanitaria, que utilizan como plataforma páginas web potencialmente fraudulentas y criptomonedas como mecanismo para realizar el fraude.

El primer trimestre de 2022 ha estado muy marcado por la ciberamenazas relacionadas con la invasión rusa de Ucrania, según una nueva edición informe trimestral de inteligencia de seguridad de Infoblox.

Según sus datos, el robo de información y la exfiltración de datos sigue siendo una tendencia creciente, mediante el uso de los denominados Troyanos de Acceso Remoto, como Remcos y el agente Tesla:

- Agresiva campaña del infostealer Formbook. Se ha detectado a mediados de marzo una nueva campaña de spam que distribuye el malware Formbook a través de archivos adjuntos de correo electrónico. Formbook se instala a través de dos agentes diferentes, asociados con el Agente Tesla. Las técnicas explotadas por estos agentes son la detección de máquinas virtuales, técnicas de esteganografía, vaciado de procesos, mutexes y muchas otras técnicas de evasión. Tanto el agente Tesla como Formbook son capaces de identificar y exfiltrar contraseñas de navegadores, clientes de correo electrónico, billeteras de criptomonedas y muchos otros programas. Ambos se venden como malware como servicio en foros especializados en hacking y permiten personalizar el malware, al disponer de su propio sistema de comando y control (C&C) y métodos de ofuscación.

- Troyano de acceso remoto (RAT) Remcos. A primeros de marzo se ha detectado una campaña de malspam que utilizaba mensajes relacionados con la guerra de Ucrania y que mediante correo electrónico trata de infectar equipos con el el troyano de acceso remoto (RAT) Remcos. Este troyano es ofrecido por una empresa alemana llamada Breaking Security, tanto en versión gratuita con un número limitado de funciones, como en versiones de pago a partir de 58 euros. Aunque Remcos se comercializa como una herramienta legítima de administración remota, con frecuencia es utilizada con fines maliciosos. Las capacidades de Remcos incluyen el control remoto de los ordenadores infectadas, el registro de pulsaciones de teclas y capturas de pantalla.

- Agente Tesla. También a primeros de marzo se ha localizado una campaña similar a las anteriores pero orientada a introducir el agente Tesla. Esta ocurrió una semana después de que Rusia invadiera Ucrania. Es una de las múltiples campañas que se han aprovechado del conflicto para atraer a los usuarios a través de correos electrónicos y sitios web de ingeniería social con dominios similares que sirven contenido de donación falso. El agente Tesla es una RAT de malware como servicio (MaaS) y es capaz de capturar gran cantidad de información de la máquina infectada, como registro de pulsaciones de teclas, extracción de datos del portapapeles, capturas de pantalla y robo de credenciales del software VPN. El agente recopila y luego exfiltra la información, utilizando un navegador web o un cliente de correo electrónico.

- Campañas de scam. Son estafas realizadas por medios electrónicos, habitualmente a través de correos electrónicos o de páginas web fraudulentas. Se han detectado diversas modalidades de fraude on-line (scam), ya conocidas, pero en esta ocasión vinculadas a la guerra y crisis humanitaria de Ucrania, sobre todo el pasado mes de marzo. Las más habituales modalidades han sido Gift Card Scam, 419 Scam (fraude conocido también como el timo del “príncipe nigeriano”) y Charity fraud.

Recomendaciones para prevenir y mitigar estos riesgos
Todas las campañas identificadas utilizan el correo electrónico como vector de ataque para distribuirdirecciones URL maliciosas que realizan múltiples redireccionamientos de las víctimas a otras páginas de destino fraudulentas. Infoblox recomienda fortalecer los controles de seguridad sobre el correo electrónico, HTTP y DNS, y tomar las siguientes medidas:

-- Desconfiar de correos electrónicos vagos o vacíos, especialmente aquellos con indicaciones para abrir archivos adjuntos o hacer clic en enlaces.

-- Comprobar siempre si la dirección de respuesta de un correo electrónico o la dirección del remitente está vinculada a la organización remitente. Si no, es probable que el correo electrónico sea fraudulento.

-- Tener cuidado con los enlaces que redirigen a sitios web de terceros desconocidos. Dichos enlaces a menudo son indicativos de actividad fraudulenta.

-- Interrumpir la resolución de URL que involucra dominios recién registrados mediante la aplicación de listas de bloqueo en el navegador o a nivel de DNS. Infoblox ofrece repositorios de inteligencia de seguridad que incluyen dominios fraudulentos observados recientemente.

-- Precaución al completar formularios web con datos personales. Asegúrese de que el sitio web sea legítimo y que el servicio de pago que ofrece es también legítimo.