España se sitúa en septiembre en el punto de mira de los ciberdelincuentes

Varias campañas de ataques con malware en español consiguen engañar a los usuarios.

Septiembre ha sido un mes duro para muchos usuarios, no sólo por haber vuelto a la rutina laboral o escolar, sino también por los varios incidentes de seguridad que han afectado a la privacidad de millones de cuentas registradas en varios servicios online y por las numerosas infecciones de malware que hemos analizado durante las últimas semanas.

España, en el punto de mira del malware

Las campañas de malware dirigidas a países específicos ya se han convertido en algo habitual y si bien para los delincuentes es más sencillo enviar millones de correos sin personalizar confiando en que algún incauto pique, aquellos emails que están bien traducidos e incorporan algún elemento que sirva para ganarse la confianza de la víctima siempre tienen mayores porcentajes de éxito.

Durante septiembre vimos varios ejemplos de campañas de propagación de malware que tenían a España como objetivo principal. Las más representativas de las analizadas en el laboratorio de ESET fueron las de los troyanos Bayrob y Bebloh; ambas utilizaban ficheros adjuntos maliciosos y correos en español para intentar engañar a los usuarios.

El troyano Bayrob utilizó correos en español que tenían como asunto la inclusión de un supuesto folleto en el fichero adjunto. Sin embargo, si el usuario caía en la trampa y ejecutaba el fichero, este malware se encargaba de abrir una puerta trasera en el sistema para permitir a un atacante acceder cuando quisiera para controlarlo remotamente u obtener información confidencial. Con los datos de telemetría obtenidos gracias al sistema Live Grid de ESET pudimos comprobar también cómo los atacantes pusieron su punto de mira en España y fue en nuestro país donde se observó un mayor número de detecciones. También afectó en menor medida a otros países de Latinoamérica, algo comprensible, dado el idioma utilizado.

Por otro lado, los delincuentes también usaron de forma fraudulenta el nombre de la empresa de telecomunicaciones Vodafone para propagar un correo electrónico malicioso. Cuando el usuario abría lo que supuestamente era una factura electrónica de la compañía, se encontraba un ejecutable que contenía el troyano Bebloh. Este troyano recopila información confidencial cada vez que se ejecutan programas tales como clientes de correo, navegadores de Internet o clientes FTP, además de otra información confidencial como credenciales de acceso a varios servicios online.

El ransomware continúa presente

Si hay un malware que ha estado presente en prácticamente todos los resúmenes de amenazas de los últimos meses, éste es sin duda el ransomware. Las amenazas que cifran los ficheros o directamente el disco entero y luego piden un rescate se han multiplicado hasta alcanzar cifras muy elevadas y copar los primeros puestos de los rankings de amenazas.

A principios de septiembre observamos un pico en las detecciones de Nemucod, un malware asociado con la descarga de numerosas variantes de ransomware. Este pico de detecciones venía asociado a una campaña de propagación de emails que utilizaban de nuevo la plantilla de Correos de España para engañar a los usuarios y que descargaba el troyano Torrentlocker.

Sin embargo, a diferencia de versiones anteriores, donde había un paso intermedio entre que el usuario hacía clic en el enlace proporcionado y la descarga del malware donde se pedía un código de verificación, en esta nueva versión se procedía a la descarga del malware directamente tras pulsar en el enlace.

Otro método ingenioso ideado por los delincuentes para infectar con ransomware -y observado durante las últimas semanas- es el utilizado por Fantom. Esta variante intenta camuflarse como una actualización de Windows e incluso llega a mostrar una pantalla similar a la que aparece en el sistema operativo cuando está instalando actualizaciones. El ransomware realiza el cifrado de los ficheros en el disco, y aunque el usuario consiga salir de la supuesta pantalla de actualizaciones, el proceso sigue realizándose, puesto que se trata de dos procesos diferentes.

Deportistas en el punto de mira

Durante el mes de agosto se sucedieron numerosos ataques a conocidos portales online que consiguieron robar millones de datos de cuentas de usuarios. En septiembre la tendencia ha continuado con nuevos casos que han afectado incluso a atletas olímpicos.

Es el caso de las filtraciones realizadas por los miembros del grupo ruso Fancy Bears, que publicó información relacionada con varias pruebas médicas de conocidos atletas, como las tenistas Venus y Serena Williams, la gimnasta Simone Biles o Rafa Nadal.

En los documentos filtrados existe información sobre supuestas sustancias prohibidas en los análisis de estos atletas, aunque todos ellos tenían permiso médico para consumirlas. Esta información fue obtenida gracias a un ataque de phishing dirigido, algo que permitió a los atacantes obtener las credenciales para acceder a la base de datos donde se almacenaba la información confidencial.

Más robos de datos en servicios online

Las vulnerabilidades no corregidas en el software de gestión de foros vBulletin permitieron el robo de datos de millones de usuarios de diferentes servicios en agosto y en septiembre los ciberdelincuentes continuaron explotándolas. De hecho, según la información filtrada, se obtuvieron alrededor de 800.000 cuentas de usuarios de los foros de Brazzers, la popular web de contenido pornográfico, gracias a la explotación de estas vulnerabilidades. Además, el ataque se habría producido en 2012, por lo que habría pasado inadvertido nada menos que cuatro años.

El portal Rambler.ru, también conocido como el Yahoo! ruso, fue otro de los atacados durante el mes de septiembre, afectando a casi 100 millones de sus usuarios. El robo de datos también se produjo en 2012: nombres de usuario, direcciones de correo electrónico, números de ICQ, detalles de cuentas en redes sociales, contraseñas sin cifrar y datos internos del servicio fueron algunos de los datos sustraídos.

A lo largo de este mes pasado también se confirmó la filtración de Yahoo! Al menos 500 millones de cuentas se vieron afectadas por este robo y hay quien apunta a que este número podría ser incluso el doble. Se corroboró, además, que el robo de la información se produjo a finales de 2014 y que los atacantes obtuvieron datos como los nombres de usuario, sus direcciones de correo electrónico, el número de teléfono, la fecha de nacimiento, los hashes de contraseñas con bcrypt y preguntas de seguridad tanto cifradas como sin cifrar.

“La seguridad de nuestros datos privados depende en gran medida de que las empresas encargadas de custodiarlos apliquen los mecanismos de seguridad necesarios. Es normal que se encuentren vulnerabilidades y éstas se corrijan. Lo que es realmente preocupante es que estas vulnerabilidades estén activas durante años sin que nadie aplique el parche correspondiente”, explica Josep Albors, director del laboratorio de ESET España.

Incidencias en Facebook y Google

Un investigador indio descubrió durante el mes pasado una vulnerabilidad en Facebook; el sitio con cientos de millones de usuarios registrados actuó rápidamente para solucionarlo. El agujero de seguridad permitiría a quien lo explotase tomar el control de cualquier página de Facebook, sin importar que se tratase de una empresa o personaje público. Tras comunicar su descubrimiento a la compañía, ésta procedió a solucionar la vulnerabilidad rápidamente y a premiar al investigador con 16.000 dólares en agradecimiento por su colaboración. “Sin duda alguna, este tipo de incentivos es un aliciente para evitar que estas vulnerabilidades sean aprovechadas por los delincuentes y para premiar el trabajo de los investigadores”, subraya Albors.

Además, a finales de mes asistimos al lanzamiento de Allo, el sistema de mensajería instantánea desarrollado por Google que incorpora una inteligencia artificial capaz de mejorar los resultados obtenidos a partir de los datos recopilados del usuario. Esta característica puede resultar muy útil, pero también muy invasiva con la privacidad, puesto que, para funcionar correctamente, necesita recopilar información y una gran cantidad de datos personales como, por ejemplo, los sitios por los que el usuario suele moverse, preferencias a la hora de elegir restaurante, hábitos de ocio, horarios, etc. Por ese motivo, los usuarios han preferido, de momento, seguir apostando por otros servicios clásicos como WhatsApp o Telegram.

Ilustración: Bacho vía Shutterstock

Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022