Emotet y el malware de sextorsión encabezan la lista de amenazas

Proofpoint ha publicado su informe sobre amenazas correspondiente al tercer trimestre, un período que estuvo marcado por el regreso de Emotet al panorama actual y la aparición de un nuevo malware de sextorsión. Para Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal, estos son sólo “los últimos ejemplos de cómo los ciberdelincuentes renuevan y amplían continuamente el alcance de sus ataques, con la esperanza de dirigirse más eficazmente a las personas dentro de las organizaciones. A medida que los atacantes aprovechan mayores niveles de ingeniería socialy sofisticación, es fundamental que las organizaciones implementen un enfoque de seguridad centrado en las personas que defienda y eduque a sus usuarios, ya que ellos siguen siendo el objetivo principal".

Emotet reapareció en escena en las dos últimas semanas de septiembre y representó casi el 12% de todas las muestras de correo electrónico malicioso en el tercer trimestre, entregando millones de mensajes con URLs o archivos adjuntos maliciosos. TA542, el grupo ciberdelincuente responsable de la distribución de Emotet, también amplió sus objetivos regionales durante este período a varios nuevos países, entre los que se incluye España. El resurgimiento de TA542 incluyó señuelos estacionales y tópicos muy específicos y relevantes para el momento, en lugar de temas financieros genéricos. Por ejemplo, el 23 de septiembre, Proofpoint observó al actor aprovechando el gancho de las noticias relacionadas con el caso "Snowden".

Además de Emotet, los investigadores de Proofpoint notaron un cambio sustancial en la operativa de sextorsión, con la aparición de un nuevo malware que puede proporcionar a los ciberdelincuentes evidencia tangible de la actividad efectuada por sus víctimas. PsiXBot, un troyano de acceso remoto (RAT), amplió sus capacidades de comunicación con la inclusión de un nuevo "Módulo Porno", que contiene un diccionario con palabras clave relacionadas con la pornografía que se utiliza para controlar los títulos de las ventanas abiertas. Si una ventana coincide con el texto, comenzará a grabar audio y vídeo en el equipo infectado. Una vez grabado, el vídeo se guarda con una extensión ".avi" y se envía al servidor de comando y control, y luego se utiliza con fines de extorsión. En general, la extorsión sexual siguió siendo generalizada en el tercer trimestre, con campañas que aprovecharon la ingeniería social enviada a través de la botnet Phorpiex.

El informe también revela que el volumen global combinado de URLs maliciosas y mensajes adjuntos disminuyó casi un 40% en comparación con el trimestre anterior. Las URLs maliciosas representaron el 88% del volumen global combinado de URLs maliciosas y mensajes adjuntos, en línea con la tendencia de 2019. Más del 26% de los dominios fraudulentos utilizaron certificados SSL, más del triple de la tasa de dominios en la Web.

El ransomware permaneció prácticamente ausente como carga útil dominante en los correos electrónicos maliciosos, con la excepción de campañas más pequeñas que generalmente distribuyeron Troldesh y Sodinokibi.