Índice de temas
Lazarus, el enemigo número 1
Lazarus es uno de los actores de amenazas más prolíficos de la actualidad. Aunque en los últimos años se ha centrado en instituciones financieras, a principios de 2020 parece haber añadido a su portfolio el sector industrial de la defensa. Son autores del backdoor personalizado (un tipo de malware que permite el control remoto completo del dispositivo). Bautizado como ThreatNeedle, este backdoor se mueve lateralmente por las redes infectadas y extrae información confidencial. Hasta ahora, se han visto afectadas organizaciones de más de una docena de países. La infección inicial se produce a través de spear phishing; los objetivos reciben correos electrónicos que contienen un archivo adjunto de Word malicioso o un enlace a uno alojado en los servidores de la empresa.
Stalkerware, tu pareja te vigila
Stalkerware (también ‘spouseware’ o ‘creepware’) es un malware que brinda acceso remoto para monitorear los dispositivos personales de una pareja o conocido sin su consentimiento. Esto incluye acceso a todas las cuentas e información en el teléfono, como correo electrónico, mensajes de texto, fotos y sitios de redes sociales; también puede incluir el acceso a la cámara y al micrófono del teléfono. Avast Threat Labs informa un aumento del 55,2% a nivel mundial en spyware y stalkerware desde marzo hasta diciembre de 2020, en comparación con los dos primeros meses de 2020. Los analistas señalan que stalkerware se ha acelerado aún más por el confinamiento, ya que permite el acceso a los teléfonos de los demás con mayor facilidad cuando se reducen sus movimientos habituales.
OAuth, la nube no está libre de ataques
OAuth es un estándar abierto que permite añadir funciones empresariales y mejoras en la interfaz de usuario de plataformas cloud como Microsoft 365 y Google Workspace. Estas mismas capacidades lo están convirtiendo en un nuevo vector de ataque por parte de los ciberdelincuentes, quienes están creando apps OAuth 2.0 maliciosas o malware cloud para extraer información y acceder a datos sensibles. Proofpoint ha detectado en 2020 más de 180 aplicaciones maliciosas diferentes en intentos de ataque a más de la mitad de los clientes (55%), con una tasa de éxito del 22%. Entre las formas de ataque más empleadas está el phishing con tokens de OAuth y el abuso de aplicaciones OAuth, ya que facilitan a los atacantes lanzar amenazas de usuario a usuario, así como sustraer archivos o correos de plataformas cloud.
El troyano MassLogger se extiende
“Información del MOU. Por favor devuélvalo firmado y sellado”. Este mensaje es uno de los utilizados en España por una campaña de e-mail phising basada en una variante del troyano MassLogger, un programa espía y ladrón de credenciales lanzado en abril de 2020 y vendido en foros ‘underground’ a un precio moderado. Descubierta por Talos, la división de ciberinteligencia de Cisco, la campaña está afectando ahora a Italia, Turquía y Letonia, aunque a finales de 2020 dirigió sus ataques a usuarios de España, Rumanía, Hungría, Bulgaria, Estonia y Lituania. El e-mail (enviado en el idioma local o en inglés) incluye un archivo adjunto con una extensión ‘.rar’ poco habitual. Una vez descargado, el malware extrae las credenciales de Microsoft Outlook, Google Chrome y programas de mensajería instantánea.
Ransomware dirigido, amenaza que no cesa
De 2019 a 2020, el número de usuarios de Kaspersky que se encontraron con ransomware dirigido -malware utilizado para extorsionar a objetivos de alto perfil, como corporaciones, organismos gubernamentales y organizaciones municipales- aumentó un 767%. Este incremento se produjo junto con un descenso del 29% en el número total de usuarios afectados por cualquier tipo de ransomware, siendo WannaCry la familia más frecuente. Estos ataques son mucho más sofisticados (compromiso de red, reconocimiento y persistencia, o movimiento lateral) e implican un pago mucho mayor. Algunas de las familias de ransomware dirigido más prolíficas durante este periodo fueron Maze, el grupo involucrado en varios incidentes mediáticos, y RagnarLocker, otro habitual de las noticias.
Ladrones de carteras de criptomonedas
Bitdefender ha detectado que durante los últimos tres años se han estado robando datos y criptomonedas de las billeteras de Monero mediante la instalación de un potente malware a través de los cracks de diversas aplicaciones, entre las que aparecen Microsoft Office y Adobe Photoshop CC. Los cracks existen desde la aparición del software comercial. Son pequeñas aplicaciones, fáciles de usar, que están disponibles en sitios web especializados. Su instalación permite a los usuarios eliminar o desactivar algunas funciones de las aplicaciones comerciales con el objetivo de poder utilizarlas sin tener que pagar por ellas. Esta actividad, además de implicaciones legales por el uso de software sin autorización del propietario, presenta también graves riesgos de seguridad.