Infoblox Inc., líder en servicios de red seguros y gestionados desde la nube, ha publicado una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores, a nivel mundial. Entre las principales conclusiones de este informe, que cubre los meses de enero a marzo de 2022, se cuentan:
- Agresiva campaña del infostealer Formbook. Se ha detectado a mediados de marzo una nueva campaña de spam que distribuye el malware Formbook a través de archivos adjuntos de correo electrónico. Formbook se instala a través de dos agentes diferentes, asociados con el Agente Tesla; de hecho, gran parte de la entrega involucra tácticas y técnicas conocidas para Agente Tesla. Las técnicas explotadas por estos agentes son la detección de máquinas virtuales, técnicas de esteganografía, vaciado de procesos, mutexes y muchas otras técnicas de evasión. Tanto el agente Tesla como Formbook son capaces de identificar y exfiltrar contraseñas de navegadores, clientes de correo electrónico, billeteras de criptomonedas y muchos otros programas. Ambos se venden como malware como servicio en foros especializados en hacking y permiten personalizar el malware, al disponer de su propio sistema de comando y control (C&C) y métodos de ofuscación.
- Troyano de acceso remoto (RAT) Remcos. A primeros de marzo se ha detectado una campaña de malspam que utilizaba mensajes relacionados con la guerra de Ucrania y que mediante correo electrónico trata de infectar equipos con el troyano de acceso remoto (RAT) Remcos. Este troyano es ofrecido por una empresa alemana llamada Breaking Security, tanto en versión gratuita con un número limitado de funciones, como en versiones de pago a partir de 58 euros. Aunque Remcos se comercializa como una herramienta legítima de administración remota, con frecuencia es utilizada con fines maliciosos. Las capacidades de Remcos incluyen el control remoto de las computadoras infectadas, el registro de pulsaciones de teclas y capturas de pantalla.
- Agente Tesla. También a primeros de marzo se ha detectado una campaña similar a las anteriores pero orientada a introducir el agente Tesla. Esta campaña ocurrió una semana después de que Rusia invadiera Ucrania. Es una de las múltiples campañas que se han aprovechado del conflicto para atraer a los usuarios a través de correos electrónicos y sitios web de ingeniería social con dominios similares que sirven contenido de donación falso. El agente Tesla es una RAT de malware como servicio (MaaS) y es capaz de capturar gran cantidad de información de la máquina infectada, como registro de pulsaciones de teclas, extracción de datos del portapapeles, capturas de pantalla y robo de credenciales del software VPN. El agente recopila y luego exfiltra la información, utilizando un navegador web o un cliente de correo electrónico.
- Campañas de scam (estafas realizadas por medios electrónicos, habitualmente a través de correos electrónicos o de páginas web fraudulentas). Se han detectado diversas modalidades de fraude on-line (scam), ya conocidas, pero en esta ocasión vinculadas a la guerra y crisis humanitaria de Ucrania, sobre todo el pasado mes de marzo. Las más habituales modalidades han sido Gift Card Scam, 419 Scam (fraude conocido también como el timo del “príncipe nigeriano”) y Charity fraud.
En marzo se ha detectado una campaña masiva del fraude de “tarjeta regalo”, que utilizaba como vector de ataque correos electrónicos relacionados con la crisis de Ucrania y que contenían tarjetas regalo fraudulentas. El correo incluye un enlace que redirigía a un sitio web fraudulento de un dominio recién registrado. Dicho dominio se utiliza para enviar correos electrónicos no deseados y redirigir a las víctimas a sitios web fraudulentos que, a su vez, solicitan a las víctimas que completen un formulario web o una encuesta y proporcionen datos personales.
El fraude 419 Scam utiliza sofisticadas técnicas de ingeniería social similares al conocido como “timo del príncipe nigeriano”, pero en esta ocasión con un tema relacionado con la invasión rusa de Ucrania. Todo ellos se realizan mediante dominios fraudulentos, creados al efecto, o legítimos que han sido secuestrados por los ciberdelincuentes. A la víctima se la invita a facilitar datos personales y bancarios para poder realizar la transferencia.
Recomendaciones de Infoblox para prevenir y mitigar estos riesgos.
Todas las campañas identificadas utilizan el correo electrónico como vector de ataque. Muchos de los correos electrónicos distribuyen direcciones URL maliciosas que realizan múltiples redireccionamientos de las víctimas a otras páginas de destino fraudulentas. Infoblox recomienda fortalecer los controles de seguridad sobre el correo electrónico, HTTP y DNS y utilizar una serie de medidas como:
- Desconfiar de correos electrónicos vagos o vacíos, especialmente aquellos con indicaciones para abrir archivos adjuntos o hacer clic en enlaces.
- Comprobar siempre si la dirección de respuesta de un correo electrónico o la dirección del remitente está vinculada a la organización remitente. Si no, es probable que el correo electrónico sea fraudulento.
- Tener cuidado con los enlaces que redirigen a sitios web de terceros desconocidos. Dichos enlaces a menudo son indicativos de actividad fraudulenta.
- Interrumpir la resolución de URL que involucra dominios recién registrados mediante la aplicación de listas de bloqueo en el navegador o a nivel de DNS. Infoblox ofrece repositorios de inteligencia de seguridad que incluyen dominios fraudulentos observados recientemente.
- Precaución al completar formularios web con datos personales. Asegúrese de que el sitio web sea legítimo y que el servicio de pago que ofrece es también legítimo.
