Resumen de algunas de las ciberamenazas más destacadas del mes de mayo

El mes de mayo es la antesala al periodo estival y representa, junto con buena parte del mes de junio, el empujón final que realizan muchas empresas y usuarios antes de las vacaciones. Por ese motivo no es extraño que el volumen de correos electrónicos de todo tipo aumente y eso es algo que los delincuentes conocen bien y que no dudan en aprovechar para propagar sus amenazas.

Correos maliciosos destacados del mes de mayo

Entre todos los emails maliciosos que hemos analizado durante las últimas semanas hemos observado una tendencia continuista con respecto a meses anteriores. Los correos suplantando la identidad de la Agencia Tributaria han continuado siendo una de las estrategias de los delincuentes para propagar malware adjunto a los mensajes, descargarlo desde enlaces incrustados o redirigir a los usuarios a webs preparadas para robarles datos personales como los relacionados con su tarjeta de crédito.

Sin embargo, las plantillas de correo malicioso más usadas en nuestro país siguen siendo aquellas que hacen referencia a facturas, pedidos y comunicados importantes, teniendo como objetivos principales a los departamentos de administración y contabilidad de las empresas españolas. Co9n un lenguaje que suele ser bastante directo y que no duda en suplantar a otras empresas e incluso organismos oficiales, los delincuentes tratan de ganarse la confianza de los usuarios para que ejecuten ficheros maliciosos adjuntos o los descarguen desde los enlaces proporcionados.

Esta estrategia es usada por muchos grupos de delincuentes para propagar todo tipo de amenazas, pero en España abundan todas aquellas que están relacionadas con el robo de información. A los usuarios finales se les suele instalar troyanos bancarios para vaciarles las cuentas (aunque hay campañas de este tipo que también van dirigidas a empresas) mientras que en los correos dirigidos a empresas se suelen instalar herramientas de control remoto para obtener un acceso inicial a la empresa, robar credenciales y luego vender ese acceso a otros grupos de delincuentes para, por ejemplo, tratar de robar información confidencial y cifrarla con un ransomware, solicitando un rescate a la víctima para recuperar sus datos y no hacerlos públicos.

Con respecto al malware usado por los delincuentes para tratar de infectar los sistemas, vemos como encontramos casos totalmente opuestos. Por un lado, hemos venido observando durante los últimos meses como algunos creadores de amenazas se centran en ofuscar su código de forma que resulte difícil detectarlas o incluso analizarlas. Esto no es algo nuevo pero si que hemos observado como grupos de delincuentes que no se caracterizaban por realizar esta ofuscación han empezado a realizarla.

En el lado opuesto tenemos a aquellos delincuentes que confían en amenazas que explotan vulnerabilidades antiguas con varios años a sus espaldas. Una de las más usadas es la CVE-2017-11882, descubierta y parcheada hace más de cinco años y que, aun a día de hoy sigue siendo usada para intentar infectar sistemas vulnerables en nuestro país y otras regiones del planeta, lo que indica un serio problema de gestión de las actualizaciones en alguna empresas.

Timos y estafas relacionados con criptomonedas

Aunque la suplantación de famosos para promocionar supuestas inversiones en criptomonedas lleva bastante tiempo con nosotros, los delincuentes no cesan en su empeño de conseguir nuevas víctimas. Así pues, el uso no autorizado de caras conocidas como Risto Mejide, Pablo Motos, Alberto Chicote o Susana Grisso es algo habitual y, durante los últimos meses hemos visto incluso como se han realizado fotomontajes con la supuesta detención de alguno de estos famosos para conseguir captar la atención de los usuarios.

Este tipo de estafas pretenden que los usuarios inviertan una cantidad de dinero en criptomonedas prometiéndoles unos elevados beneficios y contando no solo con la utilización no autorizada de la imagen de los famosos para conseguir su objetivo, sino también con perfiles falsos de usuarios que, supuestamente, han invertido su dinero y cuentan lo bien que les ha ido. Al final, la gran mayoría de usuarios termina perdiendo su dinero puesto que las plataformas de trading en las que lo depositan son demasiado complejas y requieren de amplios conocimientos previos.

Pero los usuarios que ya dispongan de criptomonedas tampoco están a salvo de estafadores y delincuentes ya que hay campañas diseñadas específicamente para ellos. Un ejemplo analizado durante el mes pasado suplantaba la identidad de la conocida cartera de criptodivisas Metamask, una de las más conocidas. Los delincuentes crearon una web idéntica a la original desde donde se podía descargar una aplicación maliciosa para Android que se hacía pasar por Metamask pero que era usada para robar el acceso a la cartera de criptomonedas de la víctima.

Investigaciones ESET

Durante el mes de mayo, los investigadores de ESET han publicado el resultado de interesantes investigaciones en varios ámbitos. Buen ejemplo de esto ha sido el descubrimiento de una aplicación troyanizada para dispositivos Android conocida como iRecorder-Screen Recorder que antes de su eliminación contaba con más de 50.000 descargas. La aplicación estaba disponible en Google Play desde septiembre de 2021 y se estima que la funcionalidad maliciosa fue añadida en agosto de 2022. La aplicación maliciosa era capaz de grabar audio utilizando el micrófono del dispositivo y robar archivos, lo que sugiere que podría formar parte de una campaña de espionaje.

A finales de mes investigadores de ESET compartieron detalles sobre con AceCryptor un malware que existe desde 2016 y que se ha utilizado desde entonces para empaquetar decenas de familias de malware distintas. Este código malicioso ha sido usado, por ejemplo, en la ofuscación del ransomware DJVU, la etapa 1 de SmokeLoader, la etapa 1, 2 y 3 del RedLine stealer, etc.

Por último, aunque no por ello menos importante, el pasado mes de mayo se publicó el informe de actividad sobre amenazas persistentes avanzadas (APT) con datos obtenidos y recopilados por la telemetría y los expertos de ESET durante los últimos meses. En el se describe la actividad de varios grupos alineados con diversos países como China, Rusia, Corea del Norte o Irán.