Los troyanos Android y las amenazas de robo de información siguen muy activas

  • Endpoint

En junio fueron numerosas las campañas de malware dirigidas a usuarios españoles. Destaca la importante vulnerabilidad que afecta al sistema Windows, troyanos bancarios como FluBot, que tratan de robar las credenciales de los usuarios, y varias campañas que usan el correo electrónico.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

ESET ha hecho un repaso a las principales ciberamenazas producidas en junio de 2021, un mes en el que se reveló una vulnerabilidad crítica 0-day que afecta al servicio de la cola de impresión de diferentes versiones de Windows.

Inicialmente se pensó que esta vulnerabilidad estaba relacionada con otra solucionada a mediados de mes y que había sido calificada con una gravedad menor que la se merecía, pero luego se comprobó que se trataba de una vulnerabilidad para la cual no se dispone de parche de seguridad que la corrija. Además, un grupo de investigadores chinos publicó un exploit para aprovechar este agujero de seguridad y, facilitando que los atacantes que deseen explotar esta vulnerabilidad puedan hacerlo.

Si echamos la vista atrás, recordaremos que Stuxnet, el malware que afectó al programa nuclear iraní en 2010, también se aprovechaba de una vulnerabilidad en el servicio de la cola de impresión para alcanzar su objetivo. En los últimos meses Microsoft ha solucionado hasta tres fallos que afectaban a este servicio, por lo que se trata de un problema recurrente que, en ocasiones como esta, puede llegar a comprometer la seguridad de los equipos de empresas de todos los tamaños.

Por otra parte, siguiendo con la tendencia de los últimos meses, los usuarios de Android han visto como un mes más seguían siendo objetivo de los delincuentes que tratan de propagar troyanos bancarios para robar las credenciales de acceso a las aplicaciones de banca online, pero también de aplicaciones relacionadas con criptomonedas, cuentas de correo o redes sociales. Entre estas amenazas, el malware FluBot sigue destacando por las constantes actualizaciones, incluido un nuevo gancho para conseguir nuevas víctimas que consiste en enviar un sms indicando que hay disponible un nuevo mensaje de voz, siendo necesaria la descarga de una aplicación específica para poder oírlo, aplicación que contiene en realidad este troyano bancario.

Otras amenazas similares que responden a nombres como NotFlubot, Toddler, Anatsa o Teabot siguen utilizando los sms indicando la llegada de un paquete enviado mediante una empresa de logística. Además, en algunas de las campañas detectadas durante las últimas semanas también han utilizado una supuesta actualización del navegador como cebo para conseguir que las víctimas se descarguen e instalen la app maliciosa.

En el informe cuatrimestral de ESET vimos como España se encontraba entre los primeros puestos de países afectados por amenazas relacionadas con el robo de información. Durante las últimas semanas hemos podido comprobar como esta tendencia seguía produciéndose, detectando varias campañas protagonizadas por amenazas de esta índole. Son campañas que, usando el correo electrónico, tratan de infectar los equipos mediante enlaces incrustados en el email o ficheros adjuntos maliciosos. Las principales amenazas que hacen uso de este vector de ataque son los troyanos bancarios como Mekotio y las herramientas de control remoto como Agent Tesla o FormBook.

Asimismo, el phishing tradicional que se hace pasar por una empresa como un banco o compañía de logística sigue siendo efectivo, y a pesar de no utilizar ningún tipo de malware consigue robar los datos y credenciales de acceso de sus víctimas haciéndoles pensar que se encuentran en sitios web legítimos.

En cuanto a los ataques dirigidos a organizaciones gubernamentales y empresas, ESET alerta de BackdoorDiplomacy, una puerta trasera utilizada para atacar a organizaciones diplomáticas y empresas de África y Oriente Medio. Los ataques iban dirigidos a servidores con puertos expuestos a Internet, probablemente explotando vulnerabilidades sin parchear o la pobre implementación de la seguridad de carga de archivos. Además, los investigadores también analizaron las nuevas campañas del grupo Gelsemium y el complejo malware modular que ha utilizado en ataques contra gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia del Este y Oriente Medio.