El cibertimo de las facturas falsas generado mediante emails maliciosos ha vuelto con fuerza esta semana a amenazar empresas españolas. Se han detectado múltiples casos de emails que se están enviando desde la madrugada del lunes 21 de octubre y que van dirigidos especialmente a pequeñas y medianas empresas españolas lanzados con el malware Snake Keylogger, haciéndose pasar por una empresa real con la excusa de que se trata de una factura. Al abrir el archivo, el dispositivo se infecta y las credenciales quedan expuestas. No son las únicas amenazas, empresas y consumidores se enfrentan a amenazas con nombres como Evil twin, Juice jacking y Cryptojacking.
Las campañas de correos maliciosos protagonizadas por amenazas especializadas en el robo de credenciales continúan representando un elevado porcentaje de las detecciones de código malicioso en España. Empresas bancarias como el Banco de Santander, energéticas como Iberdrola, telecos como Telefónica y Administraciones Públicas sufren este tipo de ciberataques que en algunas ocasiones se materializan constantemente.
En esta nueva campaña los responsables de empresas especializadas en ciberseguridad como ESET han podido detectar como los delincuentes siguen utilizando un método clásico pero que no ha dejado de ser efectivo. Este método consiste en hacerse pasar por una empresa que existe realmente y enviar correos a cientos, e incluso miles, de cuentas pertenecientes a todo tipo de empresas. Los delincuentes confían en que un porcentaje de estos correos no serán detectados en los servidores de correo (probablemente porque no tengan instalada una solución de seguridad) y que alguno de los usuarios ejecutará los ficheros adjuntos.
Debemos recordar que este tipo de campañas de envío masivo de correos les sale barato a los delincuentes, y que solo con que un pequeño porcentaje de envíos tenga éxito infectando a sus víctimas ya compensa la inversión realizada. Además, los delincuentes hace tiempo que suplantan la identidad de empresas españolas para hacer más creíbles sus correos, usando direcciones reales para tratar de evitar los filtros antispam.
El método de las facturas falsas consiste en consiste en hacerse pasar por una empresa que existe realmente y enviar correos a cientos, e incluso miles, de cuentas pertenecientes a todo tipo de empresas con facturas falsas que al abrirlas infectan el dispositivo
«Estos correos maliciosos adjuntan un fichero comprimido para evitar que Windows otorgue la ‘marca de la web’ al ejecutable que contienen, lo que los identificaría como potencialmente peligrosos», explica el especialista en ciberseguridad de ESET, Joseps Albors, quien explica cómo este ciberataque se ha extendido a principios de la semana que termina entre las compañías españolas: «Si revisamos el fichero ejecutable malicioso, comprobaremos que su última modificación es de apenas unas horas antes de que empezase a propagarse de forma masiva entre empresas españolas durante la madrugada del lunes«.
Se trata de una cadena de infección que se ejecuta igual desde hace varios años, porque, lamentablemente, continúa funcionándoles muy bien a los ciberdelincuentes.
Según especifica Albors, solamente con observar la extensión .EXE (archivo ejecutable) del archivo «debería bastar para hacer sonar todas las alarmas», pero, sin embargo, el alto volumen de correos legítimos similares que llegan a los departamentos de administración y finanzas (que suelen recibir estos correos) hace que «no pocos usuarios pasen este hecho por alto o que, directamente, no tengan configurado el sistema para mostrar las extensiones de los archivos», señala el especialista.
CIBERTIMO CONOCIDO Y POCO DEPURADO
No obstante, los ciberdelincuentes que ejecutan campañas de este estilo no suelen molestarse en depurar los posibles errores cometidos. En las muestras analizadas durante las últimas horas, desde ESET han comprobado que la ejecución del código maliciosos deja rastros perfectamente visibles en el sistema, «muestra primero una ventana de PowerShell y, a continuación, la ventana de un instalador que queda a la espera de que el usuario siga con la instalación».
Estos descuidos de los cibercriminales no impiden la ejecución del malware en la mayoría de los casos. Además, dejan un rastro evidente que puede hacer sospechar que «algo va mal». Lo normal en los correos que adjuntan facturas o presupuestos es que se abra un documento en formato PDF o similar, «algo que no sucede en este caso«, dice Albors.
Pero aún así, muchos empleados «pican» y «se termina infectando el sistema con un malware especializado en el robo de credenciales, en este caso Snake Keylogger. Esta es una de las muchas amenazas similares que, actualmente, son usadas por ciberdelincuentes para robar contraseñas que estén almacenadas en aplicaciones de uso cotidiano como navegadores de Internet, clientes de correo, clientes FTP o VPNs, aunque también hay variantes que roban credenciales relacionadas con carteras de criptomonedas o cuentas de servicios de juegos.
Lo normal en los correos que adjuntan facturas o presupuestos es que se abra un documento en formato PDF o similar, «algo que no sucede en este caso»
Además, este tipo de cibertimo suelen usar varios métodos para enviar las credenciales que roban a los delincuentes, y uno de los más comunes el utilizar una cuenta de correo previamente comprometida para este fin.
«Teniendo en cuenta la elevada cantidad de correos de este tipo protagonizados por ‘infostealers’ y el peligro que supone el robo de credenciales actualmente, es muy recomendable adoptar las medidas de seguridad necesarias», insiste a las empresas constantemente este experto. Según señala, ayudar a identificar estos correos es importante, pero es mucho más seguro bloquearlos antes de que lleguen a los buzones de entrada de los usuarios o, en última instancia, eliminar ficheros adjuntos maliciosos.
OTROS CIBERATAQUES PELIGROSOS
Junto a la advertencia de Eset, la compañía Palo Alto Networks también advierte que en casi el 45% de los casos de cibertimos registrados este año, los atacantes filtraron datos en menos de un día tras el ataque, «lo que significa que sólo se disponen de horas para detenerlos». Esta empresa advierte de varios y distintos tipos de ataques que empresas y consumidores deben conocer para mantener a salvo sus dispositivos y la integridad de la información de las empresas.
Así, han detectado ataques tipo Evil twin, que se produce cuando los hackers configuran una red Wi-Fi falsa en entornos públicos como restaurantes, aeropuertos o centros comerciales, que imita a una legítima, engañando a los usuarios para que se conecten a ella. Esto permite a los atacantes interceptar datos sensibles como contraseñas, correos electrónicos e información de tarjetas de crédito.
También señalan el ataque tipo Juice jacking, un cibertimo en la que los atacantes aprovechan las estaciones de carga públicas, como las que se encuentran en aeropuertos o cafeterías, para instalar malware o robar datos de los dispositivos. Por último, señalan el también peligroso Cryptojacking, con el que se produce el secuestro por parte de ciberdelincuentes de la capacidad informática de usuarios individuales o de dispositivos de empresas para proceder a minar criptomonedas sin su conocimiento. SonicWall descubrió que, solo el año pasado, la actividad de cryptojacking superó el total de 2018 y 2019 juntos.
