Durante este mes hemos visto a los atacantes aprovechar los acontecimientos y las tendencias actuales, comoCOVID-19 o el uso de TikTok, para hacer que el spyware, el malware y los ataques de phishing sean más eficaces. Por ejemplo, para proceder con una carga útil maliciosa, una campaña de phishing normalmente debe llamar primero la atención de la víctima para que abra un correo electrónico, y luego convencerla de que tome medidas, como, por ejemplo, hacer clic en un enlace o abrir un archivo adjunto, que desencadene la implementación del malware. Aprovechar los acontecimientos actuales en la mensajería ("¡Consiga su cura de COVID ahora!") puede ser una forma fácil de llamar la atención de las víctimas y difundir el malware.
Entre las acciones que han tenido lugar en septiembre, el equipo de ThreatLabZ ha documentado las siguientes:
La Compañía Nacional de Petróleo de Abu Dhabi (ADNOC) ha decidido reevaluar algunos de los proveedores que apoyan su cadena de suministro. Hackers oportunistas se aprovecharon de ataques de robo de información utilizando imágenes y documentos que parecían ser solicitudes de presupuestos oficiales de la ADNOC. El equipo de ZscalerThreatLabZ observó un aumento de este tipo de ataques a partir de julio, dirigidos contra múltiples organizaciones relacionadas con la cadena de suministro en el sector del petróleo y el gas de Oriente Medio.
Los correos electrónicos de phishing incluían archivos PDF maliciosos enviados como adjuntos. Esos PDF falsos incluían enlaces a sitios legítimos de intercambio de archivos (como WeTransfer y mega.nz), en los que se animaba a los usuarios a descargar un ejecutable .NET que lanzaba un troyano de robo de información llamado AZORult.
Buer y Bazar crean una combinación peligrosa
ZscalerThreatLabZ descubrió una campaña de spear-phishing dirigida a los empleados de empresas del sector turismo. Los correos electrónicos parecen proceder de la dirección de la compañía, y sugieren que el empleado ha sido despedido. Los correos electrónicos incluyen enlaces que activan la implementación de malware en los dispositivos de las víctimas. Estos ataques dirigidos utilizan el nombre de la empresa en el asunto. En lugar de un archivo adjunto, contiene lo que parecen ser enlaces de documentos legítimos de Google (uno de los cuales es supuestamente una lista de "empleados despedidos").
Esta campaña reúne por primera vez dos cepas de malware: El enlace lleva al usuario la puerta trasera de Bazar (de la banda TrickBot) usando BuerLoader.
El spyware de TikTok
La polémica, incluyendo acusaciones de robo de datos, una propuesta de prohibición en EE.UU. y la posible venta a Oracle, ha mantenido a TikTok al frente de las noticias, lo que, aparentemente ha motivado a los criminales a aprovecharse de la notoriedad lograda por la aplicación, creando un spyware que imita la aplicación TikTok en plataformas de descarga alternativas.
Generalmente, cuando se prohibe una aplicación en una tienda oficial (como Google Play), los usuarios buscan otras formas de obtenerla. Al hacerlo, pueden encontrarse con aplicaciones maliciosas que pretenden ser la aplicación original. El equipo de ThreatLabZ ha descubierto aplicaciones TikTop falsas que contienen spyware y ha detallado la actividad de la amenaza en su investigación.
Con el acuerdo de venta a Oracle la prohibición desaparece, por lo que la amenaza de aplicaciones TikTok falsas puede disminuir. Pero cualquier cambio en la disponibilidad futura de TikTok podría reactivar el peligro.
Joker en Google Play Store: 17 aplicaciones eliminadas en septiembre
Joker es una familiade malware que suele dirigirse contra los dispositivos Android. En septiembre, el equipo de ZscalerThreatLabZ encontró diecisiete aplicaciones en la tienda de Google Play que contenían el malware de Joker. La fácil disponibilidad de esas aplicaciones (que fueron descargadas más de 120.000 veces) representa una amenaza significativa para los usuarios de Android. Tal vez lo más preocupante sea la facilidad con la que los atacantes pueden (todavía) incluir aplicaciones que ocultan malware a pesar del proceso de comprobación de Google.
Google eliminó rápidamente esas aplicaciones maliciosas después de que el equipo de ThreatLabZ les notificara las amenazas.
Recomendamos siempre prestar mucha atención a la lista de permisos de las aplicaciones que se instalan en un dispositivo Android. Hay que tener especial cuidado con los permisos relacionados con los SMS, los registros de llamadas, los contactos y más. La lectura de los comentarios o reseñas en la página de la aplicación también puede ser de gran utilidad para identificar las aplicaciones comprometidas.
Más malware dirigido a sitios de WordPress
Los sitios web creados con el CMS de WordPress han sido durante mucho tiempo blanco de ciberataques, pero un nuevo vector de ataque ha llamado la atención de los expertos en seguridad cibernética de ZscalerThreatLabZ. Un reciente análisis de ThreatLabZ detalla un ataque que explota XML-RPC, una API habilitada por defecto en los sitios desarrollados con WordPress.
XML-RPC conecta aplicaciones y servicios de terceros. Si la API no está cerrada, un hacker puede hacer intentos ilimitados de acceso. Para un hacker sofisticado, el acceso ilícito no es una cuestión de "si", sino de "cuándo".
Zscaler gestiona la nube de seguridad más grande del mundo. Cada día, Zscaler bloquea más de 100 millones de amenazas a sus más de 4000 clientes. En los últimos seis meses, Zscaler monitorizó y protegió más de un billón (europeo) de transacciones de aplicaciones cloud.