Era algo previsible, y los delincuentes no han dudado en aprovechar la celebración de un evento deportivo tan importante como el Mundial de Fútbol de Qatar para tratar de hacer su agosto en noviembre. Por ese motivo, no nos hemos sorprendido al comprobar cómo iban apareciendo estafas y engaños de todo tipo con esta temática a lo largo de las últimas semanas.
Entre estas estafas encontramos clásicos a los que se les ha aplicado un lavado de cara. Como ejemplo tenemos la falsa lotería del Mundial, que asegura que hemos sido los ganadores a pesar de no haber participado. También es posible que hayamos recibido notificaciones donde se nos indica que hemos sido agraciados con entradas para ver partidos del Mundial o, directamente, se produzcan entradas con la venta de estas entradas en webs fraudulentas que los delincuentes tratan de hacer pasar como legítimas.
Pero los estafadores también se adaptan a los nuevos tiempos, y las estafas relacionadas con criptomonedas no podían faltar en un evento de estas características. Así pues, no hemos tardado en detectar enlaces a webs donde, supuestamente, se ofrecía duplicar la cantidad de criptomonedas que enviasen los usuarios. Este tipo de campañas han sido observadas anteriormente utilizando sin permiso la imagen de personas famosas y, en esta ocasión, ha sido el presidente de la FIFA el elegido por los delincuentes para tratar de dar veracidad al engaño.
Además, se ha estado propagando por WhatsApp un mensaje en el que se regala un plan de datos de 50GB para los clientes de cualquier parte del mundo por parte de la FIFA. Sin embargo, lo que se pretende es que, primero, el usuario que lo reciba comparta el mensaje con varios de sus contactos y luego participe en una serie de supuestos sorteos usados como gancho para recopilar información personal.
Amenazas dirigidas a dispositivos móviles
El Mundial de Fútbol no ha sido el único gancho usado por los delincuentes para conseguir nuevas víctimas. Durante el pasado mes hemos visto como se reutilizaban tácticas como por ejemplo la del paquete pendiente de un pequeño pago, algo bastante probable en un mes donde las compras online se incrementan por el Black Friday, el Cyber Monday y la cercanía de las fechas navideñas.
También se han observado engaños propagándose por aplicaciones de mensajería como WhatsApp, y que hacían creer a los usuarios que recibían el mensaje que la compañía aérea Iberia estaba regalando billetes de avión con motivo del Black Friday. Lo que se pretende con este tipo de engaños y suplantación de identidad de marcas conocidas es recopilar información personal, por lo que debemos andar con mucho cuidado y revisar concienzudamente dónde los introducimos.
A mediados de mes nos encontramos con la noticia de una vulnerabilidad que permitía a un atacante desbloquear la pantalla de un dispositivo Android y acceder a él. Esta vulnerabilidad fue corregida, precisamente, en la actualización de noviembre, y el investigador que la descubrió y avisó a Google publicó los detalles de cómo se podía explotar, algo que no resultaba nada complicado y que recuerda, una vez más, la importancia de aplicar las actualizaciones a nuestros dispositivos.
Investigaciones sobre ataques dirigidos
Durante el pasado mes, ESET ha hecho públicos los resultados de varias investigaciones donde se analizaban amenazas dirigidas, ya sea a espiar a usuarios de ciertas regiones, como a causar daño a sistemas ubicados en Ucrania.
Por un lado, el equipo de investigadores identificó una campaña en curso apodada como Bahamut dirigida a usuarios de Android, y que se encuentra activa desde enero de 2022. Los atacantes están distribuyendo aplicaciones maliciosas a través de un sitio web falso que suplanta la identidad de SecureVPN y que solo ofrece para descargar apps de Android, con la finalidad de robar contactos, mensajes SMS, llamadas telefónicas grabadas e incluso mensajes de chat de aplicaciones como Signal, Viber y Telegram.
También analizaron Dolphin, un backdoor que no había sido reportado anteriormente y que ha estado siendo utilizando por el grupo de APT ScarCruft. Este backdoor cuenta con múltiples capacidades para el espionaje, que incluyen la posibilidad de monitorear unidades y dispositivos portátiles, la exfiltración de archivos de interés, el registro de las pulsaciones de teclado (keylogging), la capacidad para realizar capturas de pantalla del equipo de la víctima o el robo de credenciales del navegador.
Siguiendo con los ciberataques relacionados con la guerra en Ucrania, los investigadores de ESET detectaron una nueva oleada de ataques de ransomware, bautizada como RansomBoggs, apuntando a múltiples organizaciones en Ucrania, ataques que comparten elementos con otras campañas desatadas anteriormente por el grupo de APT Sandworm.
Por último, aunque aún no se hayan detectado ataques relacionados, especialistas de ESET descubrieron e informaron al fabricante Lenovo de tres vulnerabilidades en varios modelos de sus portátiles. Concretamente, estas vulnerabilidades se encontraban en el UEFI de los portátiles y permitirían a un atacante deshabilitar el arranque seguro de la UEFI o la restauración a valores de fábrica de las bases de datos usadas en el arranque seguro.
El robo de información sigue muy presente en España
Continuando con la tendencia iniciada hace ya varios meses, las amenazas especializadas en el robo de información, como los troyanos bancarios o las herramientas de control remoto maliciosas, continúan sus campañas en nuestro país. Mientras haya usuarios que sigan cayendo en la trampa de las falsas facturas, los delincuentes detrás de las campañas protagonizadas por malware como Agent Tesla o Formbook seguirán lucrándose a costa de sus víctimas.
Otros delincuentes que siguen insistiendo en atacar a usuarios españoles son los que están detrás de troyanos bancarios como Grandoreiro. En esta ocasión, han estado especialmente activos durante el pasado mes de noviembre con una campaña en la que se suplantaba a la empresa eléctrica Endesa, para hacer creer a los usuarios que recibieran sus correos que tenían pendiente de pago una factura.
Debido a la gran cantidad de correos maliciosos de este tipo detectados en las últimas semanas, podríamos estar ante una de las campañas más grandes de los últimos meses, y no descartamos que siga incrementándose a lo largo del mes de diciembre e incluso más allá.