A finales de junio se reveló un malware que aumenta la vulnerabilidad que afecta a diferentes versiones de Windows (tanto de escritorio como servidores) y que afecta al servicio de la cola de impresión. Así lo informa la compañía de seguridad informática ESET en su más reciente boletín sobre las principales ciberamenazas producidas en junio de 2021.
Dicen estos expertos en ciberseguridad que inicialmente se pensó que tal vulnerabilidad estaba relacionada con otra solucionada a mediados de junio y que había sido calificada con una gravedad menor, pero tras un estudio más detallado, se comprobó que se trataba de un 0-day o vulnerabilidad para la cual no se dispone de parche de seguridad que la corrija.
Sobre este tema, un grupo de investigadores chinos publicó un exploit para aprovechar este agujero de seguridad y, pese a retirarlo poco tiempo después, esto no ha impedido que se encuentre accesible y los atacantes que deseen explotar esta vulnerabilidad puedan hacerlo.
Dice ESET que los principales objetivos de los atacantes que intenten explotar esta vulnerabilidad serían los controladores de dominio, ya que los usuarios autenticados de una red podrían utilizar el exploit publicado sin necesidad de realizar previamente una escalada de privilegios.
Haciendo memoria, recuerdan los expertos que el malware Stuxnet, el malware que afectó al programa nuclear iraní en 2010, también se aprovechaba de una vulnerabilidad en el servicio de la cola de impresión para alcanzar su objetivo. En los últimos meses, Microsoft ha solucionado hasta tres fallos que afectaban a este servicio, por lo que se trata de un problema recurrente que, en ocasiones como esta, puede llegar a comprometer la seguridad de los equipos de empresas de todos los tamaños.
Malware: Troyanos bancarios dirigidos a Android
Siguiendo con la tendencia de los últimos meses, ESET explica que los usuarios de Android han visto cómo un mes más han seguido siendo objetivo de los delincuentes que tratan de propagar troyanos bancarios. Estas amenazas están diseñadas principalmente para robar las credenciales de acceso a las aplicaciones de banca online, pero también pueden estar preparadas para robar credenciales de acceso a aplicaciones relacionadas con criptomonedas, cuentas de correo o redes sociales.
Entre estas amenazas, el malware FluBot sigue destacando por las constantes actualizaciones que sus creadores van publicando. Además de añadir a nuevos países como objetivo, sus desarrolladores han empezado a usar un nuevo gancho para conseguir nuevas víctimas que consiste en enviar un sms indicando que hay disponible un nuevo mensaje de voz, siendo necesaria la descarga de una aplicación específica para poder oírlo, aplicación que contiene en realidad este troyano bancario.
ESET advierte que otras amenazas similares que responden a nombres como NotFlubot, Toddler, Anatsa o Teabot siguen utilizando los sms indicando la llegada de un paquete enviado mediante una empresa de logística. Además, en algunas de las campañas detectadas durante las últimas semanas también han utilizado una supuesta actualización del navegador como cebo para conseguir que las víctimas se descarguen e instalen la app maliciosa.
Siguen activas las amenazas relacionadas con el robo de información
El informe de ESET destaca que España se encontraba en junio entre los primeros puestos de países afectados por amenazas relacionadas con el robo de información. Durante las últimas semanas, se ha podido comprobar como esta tendencia sigue produciéndose, detectando varias campañas protagonizadas por amenazas de esta índole.
Por un lado están las campañas que, usando el correo electrónico, tratan de infectar los equipos mediante enlaces incrustados en el email o ficheros adjuntos maliciosos. Esta técnica es sobradamente conocida, pero sigue siendo tan eficaz como lo era hace años.
Las principales amenazas que hacen uso de este vector de ataque son los troyanos bancarios como Mekotio y las herramientas de control remoto como Agent Tesla o FormBook.
Por otra parte, el phishing tradicional que se hace pasar por una empresa como un banco o compañía de logística sigue siendo efectivo. A pesar de no utilizar ningún tipo de malware, consigue robar los datos y credenciales de acceso de sus víctimas haciéndoles pensar que se encuentran en sitios web legítimos.