Ciudad de México, México, 25 de marzo de 2022
Estos ataques podrían haber sido diseñados para afectar la infraestructura de Internet del país y podrían estar relacionados con los ataques DDoS que se llevaron a cabo contra el Departamento de Defensa y los Bancos de Ucrania.
Avast (LSE:AVST), líder mundial en seguridad digital y privacidad, informa que durante febrero, poco antes de que Rusia invadiera Ucrania, se observó un mayor número de ataques de phishing en el ciberespacio ucraniano. Los ataques observados se dirigieron a un productor de hardware de infraestructura de red, un administrador de dominio, así como a servicios e instituciones en diferentes áreas como envío, web hosting, plataformas para reclutadores y comercializadores.
Las RAT (herramientas de acceso remoto por sus siglas en inglés) y el malware de robo de contraseñas, como AgentTesla o FormBook, se incluyeron como archivos adjuntos en los correos electrónicos de phishing que se propagaban con líneas de asunto relacionadas con facturas y pagos. Estos ataques podrían haber sido diseñados para afectar la infraestructura de Internet del país y podrían estar relacionados o servir para complementar los ataques DDoS que se llevaron a cabo contra el Departamento de Defensa y los Bancos de Ucrania justo antes de que Rusia invadiera el país.
Avast determinó el valor promedio de la cantidad de ataques de phishing por día, antes de que comenzara la guerra en Ucrania. Se pueden observar dos picos significativos el 16 de febrero y del 21 al 23 de febrero.
Figura 1. Ataques de phishing en Ucrania
Las ciudades más afectadas por los ataques fueron Kyiv (36%), Odessa (29%), Lviv (6%), Mariupol (5%).
Por su parte, las líneas de asunto de los correos electrónicos de phishing se dirigieron principalmente a los departamentos de contabilidad e incluyen:
Pago SWIFT
Pago de factura: MT103_Swift Copy
Transferencia bancaria a la cuenta de su empresa
Asunto: orden de compra
Re: Confirmación de transferencia
Asimismo, se detectó que los archivos adjuntos de correo electrónico contenían una combinación de RAT y malware de robo de contraseñas, como AgentTesla o FormBook.
Primera ola de ataques digitales
Avast detectó el primer pico significativo el 16 de febrero. El mayor ataque que se identificó fue dirigido a un administrador de dominio ucraniano, ukrnames.com. Este también brinda registro de nombres de dominio, alojamiento de sitios web, registro de certificados SSL, entre otros.
La segunda ola de ataques identificada se dirigió a un proveedor de hardware ubicado en Lviv, el cual proporcionaba equipos para infraestructuras de red (lanbox.com.ua).
De acuerdo con datos de Avast, el sitio solo fue atacado el 16 de febrero. La gran mayoría de los ataques de ukrnames.com también ocurrieron el 16 de febrero; solo se monitorearon algunos incidentes el 17, 18 y 21 de febrero. Tanto los ataques a ukrnames.com como a Lanbox parecen haber sido dirigidos. La siguiente tabla muestra la relación porcentual de los ataques dirigidos:
Una segunda ola de ataques
La segunda ola de estos ataques digitales ocurrió del 21 al 23 de febrero. Esta ola consistió en una gama más amplia de ataques a servicios e instituciones en diferentes áreas como envío, alojamiento web, plataformas para reclutadores y vendedores. No se identificó ningún ataque significativo contra un objetivo específico en esta ola.
Ataques mediante archivos adjuntos en correos electrónicos
Las líneas de asunto de los correos electrónicos de phishing y el malware incluido en los archivos adjuntos han ayudado a identificar archivos específicos utilizados en los ataques de phishing basados en el sistema trampa de correo de Avast.
El contenido de los correos electrónicos se disfraza como comunicaciones comerciales estándar o correos electrónicos informativos.
El tipo más común de archivos adjuntos sospechosos han sido los archivos .pdf y .docx. Estos documentos de Microsoft Word generalmente contienen una imagen que parece una ventana emergente con un mensaje que solicita a los usuarios que habiliten el contenido de los documentos, lo que provoca una serie de cargas maliciosas, como se puede ver en las imágenes a continuación.
En el caso de los correos electrónicos .docx solo contienen una imagen con un mensaje y un código macro malicioso oculto, es decir que, si el usuario hace clic en «Habilitar edición”, se inicia la carga dañina y, por lo general, comienza a descargar malware que puede tomar el control de la computadora de la víctima.
El segundo tipo de archivo es un .pdf, el cual contiene una imagen que promete un descuento en combustible si el usuario hace clic en la imagen. En realidad, el usuario es redirigido a un sitio web sospechoso con contenido malicioso.
Es evidente que las empresas ucranianas no se han librado de los ataques de phishing, y los atacantes tienen como objetivo las infraestructuras de comunicación locales, los proveedores de redes y otros servicios.
Por ello, para protegerse de este tipo de ataques, Avast recomienda a los usuarios no abrir ni habilitar contenidos de archivos adjuntos desconocidos y sospechosos. Los datos recientes sugieren que los ataques de phishing contra los ucranianos se han ralentizado, lo que probablemente se deba a los combates en curso y a que las personas pasan menos tiempo en línea. Avast continuará monitoreando las actividades de phishing en la región.
Acerca de Avast:
Avast (LSE:AVST), empresa del FTSE 100, es líder mundial en productos de seguridad digital y privacidad. Con más de 435 millones de usuarios online, Avast ofrece productos bajo las marcas Avast y AVG que protegen a las personas de las amenazas en Internet y la evolución del panorama de las amenazas del IoT. La red de detección de amenazas de la compañía está entre las más avanzadas del mundo, y utiliza tecnologías como el machine learning y la inteligencia artificial para detectar y detener amenazas en tiempo real. Los productos de seguridad digital de Avast para móviles, PC o Mac están clasificados y certificados por VB100, AV-Comparatives, AV-Test, SE Labs y otros. Avast es miembro de Coalition Against Stalkerware, No More Ransom e Internet Watch Foundation. Visita: www.avast.com.
Manténgase en contacto con Avast:
Para obtener información sobre seguridad y privacidad, visite el blog de Avast: https://blog.avast.com/
Para un análisis técnico en profundidad de las amenazas, visite el blog Avast Decoded: https://decoded.avast.io/
Para obtener guías útiles, consejos y sugerencias, visite la Academia Avast: https://www.avast.com/c-academy
Para más información sobre Avast, visite: https://www.avast.com/en-gb/about and https://www.avast.com/company-faqs
Síguenos en Twitter: @Avast
Súmate a nuestra comunidad de LinkedIn: https://www.linkedin.com/company/avast
Visita nuestro grupo de Facebook: www.facebook.com/avast
Perez, Raul, MEX-WSW, RPerezB@webershandwick.com
Más historias
ESET descubre un nuevo actor de amenazas que abusa de servicios como Dropbox, OneDrive y GitHub
Carta de presentación Stefanini
El Buen Fin 2024: estrategias innovadoras para mejorar las ventas con IA