El phishing y las vulnerabilidades siguen siendo una apuesta segura para los delincuentes

  • Endpoint

Los ataques suplantando a entidades bancarias, como o Ibercaja o Liberbank, así como a empresas de reconocido prestigio como Amazon y WhatsApp, siguen siendo la tónica. A ello se suman los grupos de APT que explotan vulnerabilidades, como Proxylogon, y las amenazas a móviles.

Recomendados: 

Atención pública al ciudadano: hacia una relación de 360 grados Evento

Identificación de ataques web Leer

ESET ha hecho un repaso de las principales ciberamenazas producidas en septiembre, y tras analizar algunas de ellas, una vez más, ha vuelto a comprobar como el email sigue siendo uno de los medios preferidos por los atacantes para conseguir su objetivo, aprovechando de paso las vulnerabilidades que van surgiendo en diferentes sistemas operativos.

El phishing clásico sigue siendo una fórmula ganadora para los ciberdelincuentes. En los últimos años esta amenaza ha ido evolucionando, pasando de correos poco convincentes y con notables faltas de ortografía a emails más directos, correctamente escritos, usando la imagen de la entidad suplantada y con webs bastante bien diseñadas y con el correspondiente certificado de seguridad para hacer creer a las víctimas que se trata de una web legítima.

El pasado mes de septiembre se detectaron campañas de phishing suplantando a entidades como Ibercaja o Liberbank. En ambos casos los delincuentes seguían un procedimiento similar, enviando un email alertando de una suspensión temporal de la cuenta o de la tarjeta de crédito, redirigiendo a la víctima a una web donde se solicitan los datos de acceso a la banca online y también los de la tarjeta de crédito. También se suplantaron empresas de reconocido prestigio como Amazon, haciendo creer a quienes lo reciben que han sido agraciados con un premio, y WhatsApp, usada como cebo en un email haciendo creer que van a descargar una copia de seguridad de su historial. Sin embargo, en este último caso, estarían infectando su sistema con una variante del troyano bancario Grandoreiro. Otro troyano similar, como es Numando, también ha empezado a usar correos maliciosos para propagarse por varios países, entre los que se incluye España.

Entre todos los ejemplos analizados de phishing y malspam durante el mes pasado ha habido casos en los que, usando el email de una empresa legítima, se enviaba una supuesta propuesta de acuerdo y se proporcionaba un enlace para consultar este documento. Este enlace redirigía a una web con el logo de la empresa suplantada y, en lugar de descargar un documento, volvía a redirigir al usuario a una web fraudulenta donde se pedían las credenciales de Microsoft, usadas por empresas y usuarios para, por ejemplo, acceder a Office 365.

Como cada segundo martes de cada mes, Microsoft publicó los boletines de seguridad , en los que se solucionaron varias vulnerabilidades, entre ellas un fallo descubierto en el motor de renderizado MSHTML del navegador Internet Explorer, y que estaba siendo usada activamente por atacantes contra usuarios que usasen MS Office y Office 365 en Windows 10. La solución de esta vulnerabilidad se había convertido en una prioridad, puesto que algunos operadores de ransomware la estaban utilizando para conseguir acceder a las redes de sus objetivos para, seguidamente, robarles y cifrarles la información almacenada.

En septiembre también se descubrió el grupo de ciberespionaje FamousSparrow, que aprovechaba la vulnerabilidad Proxylogon y que se especializa en atacar principalmente a hoteles de todo el mundo, pero también a gobiernos, organizaciones internacionales, empresas enfocadas en la ingeniería y bufetes de abogados.

También se ha podido comprobar como los smartphones siguen estando en el punto de mira de los ciberdelincuentes. Los mensajes alertando de la entrega de un paquete siguen funcionando muy bien como cebo para conseguir que los usuarios proporcionen información personal y que se instalen aplicaciones maliciosas que luego se encargan de robar las credenciales de acceso a la banca online y vaciar la cuenta corriente de sus víctimas.

Apple tampoco se libra de los problemas de seguridad. Durante el pasado mes se lanzó un parche para solucionar la vulnerabilidad Forcedentry, que fue aprovechada por el spyware Pegasus para comprometer la seguridad de los iPhone, sin necesidad de intervención alguna del usuario.