Los investigadores de Avast también descubrieron y notificaron dos vulnerabilidades de día cero, y observaron la propagación de malware de robo de información, troyanos de acceso remoto y botnets.
Avast, líder en seguridad digital y privacidad, y una marca de Gen™ (NASDAQ: GEN), observó un aumento de las amenazas que utilizan la ingeniería social para robar dinero, como fraudes de reembolsos y facturas y estafas de soporte técnico, durante el cuarto trimestre del año natural 2022. Los ciberdelincuentes también se mantuvieron activos en el espionaje y el robo de información, con campañas de adware con temática de lotería utilizadas como táctica para obtener los datos de contacto de las personas. Los investigadores de amenazas de Avast también descubrieron exploits de día cero en Google Chrome y Windows. Estas vulnerabilidades ya han sido parcheadas. Estos datos se recogen en el Informe sobre amenazas del cuarto trimestre de 2022 de Avast.
“A finales de 2022, hemos visto un aumento de las amenazas centradas en el ser humano, como las estafas que engañan a las personas haciéndoles creer que su ordenador está infectado, o que les han cobrado por productos que no han pedido. Es propio de la naturaleza humana reaccionar ante la urgencia, el miedo y tratar de recuperar el control de los problemas, y ahí es donde los ciberdelincuentes tienen éxito”, afirma Jakub Kroustek, Director de Investigación de Malware de Avast. “Cuando las personas se enfrentan a mensajes emergentes o correos electrónicos sorprendentes, les recomendamos que mantengan la calma y se tomen un momento para pensar antes de actuar. Las amenazas son tan omnipresentes hoy en día que es difícil para los consumidores mantenerse al día. Nuestra misión es proteger a las personas detectando las amenazas y alertando a los usuarios antes de que puedan hacer daño, utilizando la última tecnología basada en IA.”
Aumento del fraude en devoluciones y facturas, y de las estafas al servicio técnico
Los laboratorios de amenazas de Avast también observaron un aumento en la actividad de estafas de soporte técnico. Los países más afectados son Estados Unidos, Brasil, Japón, Canadá y Francia. Estas estafas suelen comenzar con una ventana emergente que alerta de una supuesta infección de malware e insta a llamar a una línea de asistencia para resolver el problema. Los estafadores convencen a la persona que llama para que establezca una conexión remota a su ordenador, lo que abre la puerta al robo de información personal y dinero, ya que los delincuentes intentan acceder a las cuentas bancarias o a las cripto carteras de las personas, y piden un pago por sus servicios.
“Recomendamos a la gente que ignore esos mensajes emergentes y cierre la ventana con la tecla escape o, si no es posible, reinicie el ordenador”, aconseja Kroustek. “Además, nunca dé acceso remoto a su ordenador a alguien que no conozca”.
Los laboratorios de amenazas de Avast también observaron un aumento de los fraudes de reembolsos y facturas del 14% de octubre a noviembre de 2022, y otro aumento del 22% en diciembre. El fraude de reembolso funciona de forma similar a las estafas de soporte técnico, y a menudo se presenta en forma de un correo electrónico que es enviado por una supuesta empresa. Los usuarios reciben un correo electrónico con un recibo falso que les hace creer que se les ha cobrado una compra que no han realizado. A continuación, se engaña a las personas para que llamen a un número de teléfono, donde un agente les pide que creen una conexión remota a su ordenador y abran su cuenta bancaria, para que la persona pueda ver cómo se realiza el reembolso. El objetivo del atacante es robar el dinero de la persona. En el caso del fraude de facturas, las personas, y más a menudo las empresas, reciben facturas por bienes o servicios que la empresa nunca pidió ni recibió.
“Para evitar el fraude en las facturas, hay que prestar mucha atención a las facturas que se reciben. Las facturas fraudulentas suelen parecer legítimas, y hay que comprobar si realmente se ha hecho un pedido, el servicio recibido y si el remitente es realmente quien pretende ser”, afirma Kroustek.
Adware ladrones de información, troyanos de acceso remoto y bots
El adware basado en la web también fue frecuente en el trimestre, no sólo molestando a la gente con anuncios intrusivos, sino también tratando de robar sus datos personales. Por ejemplo, se pide a la gente que participe en una lotería, haciendo girar una ruleta para ganar, y luego se les pide que introduzcan su información de contacto y paguen una “tasa de tramitación” utilizando su tarjeta de crédito o cuenta de Google o Apple Pay. Los investigadores de Avast también vieron una avalancha de adware DealPly, que viene como una extensión de Chrome y envía información estadística y de búsqueda a los atacantes. El riesgo de infectarse por DealPly aumentó en todo el mundo, sobre todo en América, Europa, el sur y el sudeste de Asia.
Los investigadores de Avast observaron un aumento significativo del 466% en la propagación del ladrón de información Arkei en Argentina, conocido por robar datos de los formularios de autorrelleno de los navegadores, contraseñas y otras fuentes. Globalmente, también hubo un aumento del 57% en las personas y empresas protegidas contra AgentTesla, una cepa de malware que a menudo se propaga a través de correos electrónicos de phishing a empresas y diseñado para robar credenciales, así como un aumento del 37% en RedLine stealer, que a menudo se propaga en juegos y servicios crackeados, robando información de navegadores y criptowallets.
La telemetría de Avast también muestra que la propagación global de LimeRAT creció un 148% en Argentina en el cuarto trimestre. LimeRAT es un troyano de acceso remoto capaz de robar contraseñas, criptomonedas, dirigir ataques de denegación de servicio distribuido (DDoS) e instalar ransomware en el ordenador de la víctima. Estaba activo sobre todo en el sur y el sudeste de Asia y América Latina. La botnet Emotet, también distribuidora de malware con una amplia variedad de capacidades para robar información y propagar malware, ha evolucionado en los últimos meses su técnica para eludir la detección por parte del software antivirus mediante el uso de temporizadores para continuar incrementalmente la ejecución de la carga útil. La botnet de robo de información Qakbot también ha evolucionado y ha empezado a utilizar el “contrabando HTML” para ocultar un script malicioso codificado dentro de un archivo adjunto de correo electrónico. Por ejemplo, los actores de la amenaza han empezado a abusar de las imágenes SVG para ocultar cargas útiles maliciosas y el código utilizado para su reensamblaje.
Los investigadores de Avast también descubrieron dos sofisticados exploits de día cero durante el trimestre. Avast protegió a sus usuarios ya que ambos fueron explotados in the wild. El primero, CVE-2022-3723, era una confusión de tipo en V8 y se utilizaba para realizar una “ejecución remota de código” (RCE) contra Google Chrome. Avast informó de esta vulnerabilidad a Google, que rápidamente lanzó un parche en sólo dos días, el 27 de octubre de 2022. El segundo día cero, CVE-2023-21674, era una vulnerabilidad LPE en ALPC que permitía a los atacantes llegar desde el sandbox del navegador hasta el kernel de Windows. Microsoft parcheó esta vulnerabilidad en la actualización del martes de parches de enero de 2023.
Además, el Avast Q4/2022 Threat Report de Avast Threat Labs comparte información sobre spyware y lo último en troyanos bancarios móviles y troyanos SMS. Avast ayuda a proteger a sus usuarios de todas las amenazas cubiertas en el informe.
