Skip to content
Volver a noticias
Feb 4

El retorno de Emotet y las vulnerabilidades de Microsoft centran las amenazas de enero

El retorno de Emotet y las vulnerabilidades de Microsoft centran las amenazas de enero

  • BARÓMETRO ESET NOD32 MENSUAL DE SEGURIDAD

El año 2020 ha comenzado con un protagonista claro en el mundo de la seguridad: tras el parón navideño, el malware Emotet ha vuelto a la carga con una serie de campañas que lo han vuelto a posicionar como una de las amenazas a tener en cuenta durante los próximos meses. Asimismo, las vulnerabilidades en productos de Microsoft han vuelto a cobrar protagonismo durante las últimas semanas junto a varias campañas de phishing.

Emotet, el retorno de la amenaza

Tal y como sucedió durante el verano pasado, cuando los delincuentes detrás de las campañas de Emotet se tomaron unos meses de descanso, las pasadas navidades también representaron semanas de una baja actividad de esta amenaza. Sin embargo todo esto cambió a mediados de enero, cuando se volvió a detectar un envío masivo de correos electrónicos maliciosos que propagaban este malware.

Desde entonces, en el laboratorio de ESET, el mayor fabricante de software de seguridad de la Unión Europea, se ha estado haciendo un seguimiento de las nuevas variantes enviadas por los delincuentes para tratar de conseguir nuevas víctimas. Muchos de los correos analizados contenían asuntos y plantillas con referencias a facturas o documentos similares. Sin embargo, también se han observado numerosos casos que aprovechan asuntos y cadenas de mensajes antiguas obtenidas desde cuentas de correo comprometidas.

Entre los casos más destacados encontramos un correo dirigido a 600 direcciones de email correspondientes a miembros de las Naciones Unidas. En ese mensaje, los delincuentes suplantan la identidad de la Misión Permanente de Noruega en las organización internacional. Por otro lado, en los últimos días, el uso del coronavirus 2019-nCoV como asunto y plantilla también ha empezado a usarse en algunas regiones como Japón y no sería de extrañar que empezase a verse también en otras regiones.

En lo relativo a España, nuestro país ha estado en el punto de mira de los delincuentes detrás de estas campañas, especialmente durante la semana del 13 al 19 de enero, cuando se observaron picos de detección cercanos al 20 % del total de amenazas durante esos días relacionados con Emotet.

Vulnerabilidades, parches y filtraciones de Microsoft

El mismo mes en el que Windows 7 dejaba de tener soporte oficial también fue un periodo bastante ajetreado en lo que respecta a motivos de seguridad en Microsoft. En un movimiento sin precedentes, la NSA informó a Microsoft de la existencia de una vulnerabilidad crítica en varios sistemas Windows del tipo spoofing que afectaba a Microsoft CryptoAPI. Esto permitiría a un atacante utilizar un código de certificado de firma fraudulento para así firmar un ejecutable malicioso y camuflarlo de forma que parezca venir desde una fuente de confianza. Esta vulnerabilidad fue solucionada poco tiempo después, justo cuando empezaba a ser explotada por diversos atacantes.

Sin embargo, no fue la única vulnerabilidad en soluciones de Microsoft que se descubrió en enero. Otras dos vulnerabilidades consideradas también como críticas permitían a un atacante ejecutar código de forma remota en servidores RDP y acceder a una red sin necesidad de tener que pasar por un proceso de autenticación.

Para terminar el mes, la empresa de Redmond confirmó que los registros de 250 millones de clientes del soporte técnico de Microsoft quedaron expuestos. Aunque no se haya detectado todavía un uso malicioso de estos datos y, en la mayoría de casos, no se haya expuesto información que permita identificar personalmente a cada uno de los clientes, la empresa ha decidido informar acerca de este incidente como acto de transparencia.

El phishing sigue muy presente

Otra de las amenazas clásicas que sigue muy presente es el phishing o suplantación de identidad. En los últimos meses hemos comprobado cómo el número de incidencias relacionadas con el phishing se ha mantenido elevado a pesar de que es relativamente fácil adoptar medidas para evitarlo.

Un clásico del phishing es el que se hace pasar por Netflix y nos invita a introducir nuestros datos de acceso y la información de nuestra tarjeta de crédito en una web que suplanta a la original. Esta campaña se propagó entre usuarios españoles y de Latinoamérica a principios de mes y, aunque no estuviese especialmente elaborada, seguramente consiguió los datos de más de un usuario desprevenido.

Los delincuentes también aprovechan ciertas fechas para tematizar sus campañas de phishing. Como ejemplo, a finales y principios de año analizamos dos campañas con una temática parecida y que hacía referencia a la recepción de un paquete. La primera de ellas nos instaba a abonar el pago de un euro en concepto de envío de un Macbook Pro supuestamente obtenido en un sorteo. Por otra parte, un correo simulando provenir de Correos también nos invitaba a acceder a una web para realizar un pago que permitiese la entrega de un paquete. En ambos casos, la finalidad última era obtener los datos de la tarjeta de crédito de la víctima.

También la conocida red social de perfiles profesionales LinkedIn fue suplantada en otra campaña de phishing a finales de mes. Esta red es uno de los objetivos favoritos de los delincuentes por la cantidad de perfiles y datos interesantes que se pueden obtener en ella. No obstante, esta campaña estaba llena de fallos tales como una falta de personalización del mensaje, errores gramaticales o incluso un enlace a un sitio web falso que en nada se parecía al real, por lo que deducimos que no habrá obtenido un especial éxito.