Robo de información bancaria y carteras de criptomonedas, los objetivos del malware en el tercer trimestre de 2020

Revisamos la primera edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores a nivel mundial, y esto es lo que nos encontramos.

En esta primera edición del informe, que abarca los meses de julio a septiembre de 2020, se incluyen los principales vectores de amenazas de seguridad detectados y estrechamente vinculados a las nuevas condiciones de trabajo creadas a partir de la pandemia.

Las principales conclusiones  

El teletrabajo crea nuevas oportunidades para los cibercriminales. Durante los últimos tres meses se ha detectado un incremento en el número de brechas de seguridad como consecuencia de la expansión del fenómeno del teletrabajo. La tecnología y prácticas utilizadas en estos entornos facilita la explotación de vulnerabilidades, por diversas causas: 

  • Utilización de dispositivos finales no convenientemente securizados o controlados por el departamento de TI de la organización. Los procedimientos de ciberseguridad y controles de seguridad utilizados dentro de la empresa no están siendo aplicados en ubicaciones remotas. 
  • La rapidez con que todo el proceso se ha realizado no ha permitido a las organizaciones preparar, modificar e implementar a gran escala políticas de seguridad para trabajadores remotos.
  • Entre las tecnologías utilizadas que pueden ser vulnerables se encuentran conexiones Wi-Fi domésticas sin seguridad o con seguridad débil, documentos compartidos en carpetas en la nube, navegadores domésticos configurados con complementos y aplicaciones con vulnerabilidades o routers con brechas de seguridad, entre otros.
  • Correo electrónico e ingeniería social, entre las técnicas de ataque más utilizadas. Las campañas de “emailing” siguen siendo uno de los principales vectores de ataque utilizados.

Por otro lado, el correo electrónico sigue siendo el principal medio para el envío de archivos adjuntos maliciosos o URL que dirigen a los usuarios a sitios web con malware.

Principales amenazas detectadas en el tercer trimestre de 2020

Dentro del informe, también se ha elaborado una relación de las principales amenazas y brechas de seguridad más activas en este periodo:

  1. Valak InfoStealer: Este malware ha sido el responsable de propagar el troyano bancario IcedID. Este troyano está diseñado para robar credenciales bancarias, tarjetas de crédito y otra información financiera. Valak es un software malicioso modular sofisticado que actúa tanto como propagador de malware como de robo de información.
  2. Vidar InfoStealer: A principios de verano, hubo una campaña masiva de spam que propagaba este malware, es un troyano orientado a robar información sobre tarjetas de crédito, nombres de usuario, contraseñas y archivos, así como tomar capturas de pantalla del escritorio de un usuario. Vidar también puede robar carteras de criptomonedas como Bitcoin y Ethereum.
  3. Emotet: A mediados de julio, el equipo de investigación de amenazas de Proofpoint observó una campaña de spam malicioso que distribuía el troyano bancario Emotet, que contraseñas almacenadas, datos bancarios confidenciales e historiales de navegación.
  4. WeTransfer: Infoblox detectó en septiembre una campaña de spam que distribuía un archivo HTML malicioso, capaz de realizar phishing en busca de credenciales. Si bien los actores de amenazas usaban señuelos genéricos en los correos electrónicos, el HTML archivo dirigido específicamente a WeTransfer, un servicio de intercambio de archivos.
  5. Glupteba: un troyano “blackdoor” detectado a finales de septiembre. Infoblox detectó comunicaciones entre bots Glupteba maliciosos y servidores C&C en el tráfico DNS de clientes. Esta actividad fue identificada por la solución de seguridad Threat Insight, que emplea modelos de aprendizaje automático para detectar y bloquear ciertos tipos de comportamiento malicioso, en este caso exfiltración de datos.
  6. Racoon InfoStealer: También en septiembre se detectó una campaña de spam con el malware Raccoon, también conocido como Racealer. Es un software malicioso orientado al robo de información de tarjetas de crédito, nombres de usuario, contraseñas y carteras de criptomonedas. Es un malware de fácil acceso, ya que los cibercriminales pueden obtenerlo “como servicio” por 75 dólares y permite a los compradores recibir actualizaciones de software y soporte técnico.
  7. Qakbot: En agosto, una campaña de spam distribuía archivos comprimidos con código Visual Basic Script (VBScript) con este malware. Orientado como en el caso de otras amenazas a robar contraseñas bancarias y todo tipo de información residente en el equipo de la víctima. Qakbot incluye capacidades de gusano que le permiten propagarse a otros sistemas en la misma red, así como capacidades de rootkit que ayudan a ocultar su presencia y a establecer la persistencia en los clientes infectados.