El robo de información bancaria y carteras de criptomonedas, objetivos del malware en el tercer trimestre de 2020

Según este informe, el correo electrónico ha sido el principal vector de propagación de los ataques de malware, orientado sobre todo a la exfiltración de datos y robo de información bancaria. id:64853

Infoblox Inc., líder en servicios de red seguros y gestionados desde la nube, ha publicado la primera edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recogerá trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores a nivel mundial.

En esta primera edición del informe, que abarca los meses de julio a septiembre de 2020, se incluyen los principales vectores de amenazas de seguridad detectados y estrechamente vinculados a las nuevas condiciones de trabajo creadas a partir de la pandemia. Las principales conclusiones son:

• El teletrabajo crea nuevas oportunidades para los cibercriminales. Durante los últimos tres meses se ha detectado un incremento en el número de brechas de seguridad como consecuencia de la expansión del fenómeno del teletrabajo. La tecnología y prácticas utilizadas en estos entornos facilita la explotación de vulnerabilidades, por diversas causas:
• Utilización de dispositivos finales no convenientemente securizados o controlados por el departamento de TI de la organización. Los procedimientos de ciberseguridad y controles de seguridad utilizados dentro de la empresa no están siendo aplicados en ubicaciones remotas.
• La rapidez con que todo el proceso se ha realizado no ha permitido a las organizaciones preparar, modificar e implementar a gran escala políticas de seguridad para trabajadores remotos.
• Entre las tecnologías utilizadas que pueden ser vulnerables se encuentran conexiones Wi-Fi domésticas sin seguridad o con seguridad débil, documentos compartidos en carpetas en la nube, navegadores domésticos configurados con complementos y aplicaciones con vulnerabilidades o routers con brechas de seguridad, entre otros.
• Correo electrónico e ingeniería social, entre las técnicas de ataque más utilizadas. Las campañas de “emailing” siguen siendo uno de los principales vectores de ataque utilizados. Según datos del Internet Crime Complaint Center (IC3), dependiente del FBI, mediante estafas canalizadas a través de correos electrónicos fraudulentos o mediante el robo de cuentas se han estafado 26.000 millones de dólares.

Estas estafas son además cada vez más sofisticadas, ya que utilizan técnicas de ingeniería social para dar mayor verosimilitud a la estafa, y van orientadas a empresas y personas que realizan transferencias de fondos en sus negocios. Otras veces no buscan la transferencia de dinero, sino recabar información personal de empleados, a través de formularios, para crear perfiles personales fraudulentos.

Por otro lado, el correo electrónico sigue siendo el principal medio para el envío de archivos adjuntos maliciosos o URL que dirigen a los usuarios a sitios web con malware. Según un informe de Symantec Internet Security, el usuario promedio ha recibido 16 correos electrónicos no deseados maliciosos cada mes.

Principales amenazas detectadas en el tercer trimestre de 2020

Dentro del informe, Infoblox también ha elaborado una relación de las principales amenazas y brechas de seguridad más activas en este periodo:

Valak InfoStealer. Este malware ha sido el responsable de propagar el troyano bancario Este troyano está diseñado para robar credenciales bancarias, tarjetas de crédito y otra información financiera. Valak es un software malicioso modular sofisticado que actúa tanto como propagador de malware como de robo de información.

Vidar InfoStealer. A principios de verano, hubo una campaña masiva de spam que propagaba este malware, es un troyano orientado a robar información sobre tarjetas de crédito, nombres de usuario, contraseñas y archivos, así como tomar capturas de pantalla del escritorio de un usuario. Vidar también puede robar carteras de criptomonedas como Bitcoin y Ethereum.

A mediados de julio, el equipo de investigación de amenazas de Proofpoint observó una campaña de spam malicioso que distribuía el troyano bancario Emotet, que contraseñas almacenadas, datos bancarios confidenciales e historiales de navegación.

WeTransfer: Infoblox detectó en septiembre una campaña de spam que distribuía un archivo HTML malicioso, capaz de realizar phishing en busca de credenciales. Si bien los actores de amenazas usaban señuelos genéricos en los correos electrónicos, el HTML archivo dirigido específicamente a WeTransfer, un servicio de intercambio de archivos.

Glupteba: un troyano “blackdoor” detectado a finales de septiembre. Infoblox detectó comunicaciones entre bots Glupteba maliciosos y servidores C&C en el tráfico DNS de clientes. Esta actividad fue identificada por la solución de seguridad Threat Insight, que emplea modelos de aprendizaje automático para detectar y bloquear ciertos tipos de comportamiento malicioso, en este caso exfiltración de datos.

Racoon InfoStealer. También en septiembre se detectó una campaña de spam con el malware Raccoon, también conocido como Racealer. Es un software malicioso orientado al robo de información de tarjetas de crédito, nombres de usuario, contraseñas y carteras de criptomonedas. Es un malware de fácil acceso, ya que los cibercriminales pueden obtenerlo “como servicio” por 75 dólares y permite a los compradores recibir actualizaciones de software y soporte técnico.

En agosto, una campaña de spam distribuía archivos comprimidos con código Visual Basic Script (VBScript) con este malware. Orientado como en el caso de otras amenazas a robar contraseñas bancarias y todo tipo de información residente en el equipo de la víctima. Qakbot incluye capacidades de gusano que le permiten propagarse a otros sistemas en la misma red, así como capacidades de rootkit que ayudan a ocultar su presencia y a establecer la persistencia en los clientes infectados.

El informe completo está disponible para descargar de forma gratuita aqui.