Estafas basadas en crisis humanitarias y robos de datos plagan el 1Q2022
El robo de información y la exfiltración de datos sigue siendo una tendencia creciente, mediante el uso de troyanos de acceso remoto como Remcos y el agente Tesla, dio a conocer Infoblox.
Infoblox dio a conocer una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores, a nivel mundial.
Entre las principales conclusiones del reporte del primer trimestre de 2022, que cubre los meses de enero a marzo, se cuentan:
- Una agresiva campaña del infostealer Formbook. Se ha detectado, a mediados de marzo, una nueva campaña de spam que distribuye el malware Formbook a través de archivos adjuntos de correo electrónico. Formbook se instala a través de dos agentes diferentes asociados con el agente Tesla; de hecho, gran parte de la entrega involucra tácticas y técnicas conocidas para agente Tesla. Las técnicas explotadas por estos agentes son la detección de máquinas virtuales, técnicas de esteganografía, vaciado de procesos, mutexes y otras técnicas de evasión. Tanto el agente Tesla como Formbook son capaces de identificar y exfiltrar contraseñas de navegadores, clientes de correo electrónico, billeteras de criptomonedas y muchos otros programas. Ambos se venden como malware como servicio en foros especializados en hacking y permiten personalizar el malware al disponer de su propio sistema de comando y control (C&C) y métodos de ofuscación.
- Troyano de acceso remoto (RAT) Remcos. Los primeros días de marzo se detectó una campaña de malspam que utilizaba mensajes relacionados con la guerra de Ucrania y que, mediante correo electrónico, trata de infectar equipos con el troyano de acceso remoto (RAT) Remcos. Este troyano es ofrecido por una empresa alemana llamada Breaking Security, tanto en versión gratuita con un número limitado de funciones, como en versiones de pago a partir de 58 euros. Aunque Remcos se comercializa como una herramienta legítima de administración remota, con frecuencia es utilizada con fines maliciosos. Las capacidades de Remcos incluyen el control remoto de las computadoras infectadas, el registro de pulsaciones de teclas y capturas de pantalla.
- Agente Tesla. También a primeros de marzo se detectó una campaña similar a las anteriores, pero orientada a introducir el agente Tesla. Esta campaña ocurrió una semana después de que Rusia invadiera Ucrania. Es una de las múltiples campañas que se han aprovechado del conflicto para atraer a los usuarios a través de correos electrónicos y sitios web de ingeniería social con dominios similares que sirven contenido de donación falso. El agente Tesla es una RAT de malware como servicio (MaaS) y es capaz de capturar gran cantidad de información de la máquina infectada, como registro de pulsaciones de teclas, extracción de datos del portapapeles, capturas de pantalla y robo de credenciales del software VPN. El agente recopila y luego exfiltra la información, utilizando un navegador web o un cliente de correo electrónico.
- Campañas de scam (estafas realizadas por medios electrónicos, habitualmente a través de correos electrónicos o de páginas web fraudulentas). Se ha detectado diversas modalidades de fraude en línea (scam) ya conocidas, pero en esta ocasión vinculadas a la guerra y crisis humanitaria de Ucrania, sobre todo en marzo. Las más habituales modalidades han sido Gift Card Scam, 419 Scam (fraude conocido también como el timo del “príncipe nigeriano”) y Charity fraud.
- En marzo se detectó una campaña masiva del fraude de “tarjeta regalo”, que utilizaba como vector de ataque correos electrónicos relacionados con la crisis de Ucrania y que contenían tarjetas regalo fraudulentas. El correo incluye un enlace que redirigía a un sitio web fraudulento de un dominio recién registrado. Dicho dominio se utiliza para enviar correos electrónicos no deseados y redirigir a las víctimas a sitios web fraudulentos que, a su vez, solicitan a las víctimas que completen un formulario web o una encuesta y proporcionen datos personales.
- El fraude 419 Scam utiliza sofisticadas técnicas de ingeniería social similares al conocido como “timo del príncipe nigeriano”, pero en esta ocasión con un tema relacionado con la invasión rusa de Ucrania. Todo ellos se realizan mediante dominios fraudulentos creados al efecto o legítimos que han sido secuestrados por los ciberdelincuentes. A la víctima se la invita a facilitar datos personales y bancarios para poder realizar la transferencia.
Recomendaciones para prevenir y mitigar estos riesgos
El reporte de Infoblox dijo que todas las campañas identificadas utilizan el correo electrónico como vector de ataque. Muchos de los correos electrónicos distribuyen direcciones URL maliciosas que realizan múltiples redireccionamientos de las víctimas a otras páginas de destino fraudulentas.
Por ello, Infoblox recomienda fortalecer los controles de seguridad sobre el correo electrónico, HTTP y DNS y utilizar medidas como:
- Desconfiar de correos electrónicos vagos o vacíos, especialmente aquellos con indicaciones para abrir archivos adjuntos o hacer clic en enlaces.
- Comprobar siempre si la dirección de respuesta de un correo electrónico o la dirección del remitente está vinculada a la organización remitente. Si no, es probable que el correo electrónico sea fraudulento.
- Tener cuidado con los enlaces que redirigen a sitios web de terceros desconocidos. Dichos enlaces a menudo son indicativos de actividad fraudulenta.
- Interrumpir la resolución de URL que involucra dominios recién registrados mediante la aplicación de listas de bloqueo en el navegador o a nivel de DNS.
- Precaución al completar formularios web con datos personales. Asegúrese de que el sitio web sea legítimo y que el servicio de pago que ofrece es también legítimo.