Ciudad de México, México, 22 de marzo de 2022 — Avast (LSE:AVST), líder mundial en seguridad digital y privacidad, informa que durante febrero, poco antes de que Rusia invadiera Ucrania, se observó un mayor número de ataques de phishing en el ciberespacio ucraniano. Los ataques observados se dirigieron a un productor de hardware de infraestructura de red, un administrador de dominio, así como a servicios e instituciones en diferentes áreas como envío, web hosting, plataformas para reclutadores y comercializadores.
Las RAT (herramientas de acceso remoto por sus siglas en inglés) y el malware de robo de contraseñas, como AgentTesla o FormBook, se incluyeron como archivos adjuntos en los correos electrónicos de phishing que se propagaban con líneas de asunto relacionadas con facturas y pagos. Estos ataques podrían haber sido diseñados para afectar la infraestructura de Internet del país y podrían estar relacionados o servir para complementar los ataques DDoS que se llevaron a cabo contra el Departamento de Defensa y los Bancos de Ucrania justo antes de que Rusia invadiera el país.
Avast determinó el valor promedio de la cantidad de ataques de phishing por día, antes de que comenzara la guerra en Ucrania. Se pueden observar dos picos significativos el 16 de febrero y del 21 al 23 de febrero.
Figura 1. Ataques de phishing en Ucrania
Las ciudades más afectadas por los ataques fueron Kyiv (36%), Odessa (29%), Lviv (6%), Mariupol (5%).
Por su parte, las líneas de asunto de los correos electrónicos de phishing se dirigieron principalmente a los departamentos de contabilidad e incluyen:Pago SWIFT
- Pago de factura: MT103_Swift Copy
- Transferencia bancaria a la cuenta de su empresa
- Asunto: orden de compra
- Re: Confirmación de transferencia
Asimismo, se detectó que los archivos adjuntos de correo electrónico contenían una combinación de RAT y malware de robo de contraseñas, como AgentTesla o FormBook.
Primera ola de ataques digitales
Avast detectó el primer pico significativo el 16 de febrero. El mayor ataque que se identificó fue dirigido a un administrador de dominio ucraniano, ukrnames.com. Este también brinda registro de nombres de dominio, alojamiento de sitios web, registro de certificados SSL, entre otros.
La segunda ola de ataques identificada se dirigió a un proveedor de hardware ubicado en Lviv, el cual proporcionaba equipos para infraestructuras de red (lanbox.com.ua).
De acuerdo con datos de Avast, el sitio solo fue atacado el 16 de febrero. La gran mayoría de los ataques de ukrnames.com también ocurrieron el 16 de febrero; solo se monitorearon algunos incidentes el 17, 18 y 21 de febrero. Tanto los ataques a ukrnames.com como a Lanbox parecen haber sido dirigidos. La siguiente tabla muestra la relación porcentual de los ataques dirigidos:
Una segunda ola de ataques
La segunda ola de estos ataques digitales ocurrió del 21 al 23 de febrero. Esta ola consistió en una gama más amplia de ataques a servicios e instituciones en diferentes áreas como envío, alojamiento web, plataformas para reclutadores y vendedores. No se identificó ningún ataque significativo contra un objetivo específico en esta ola.
Ataques mediante archivos adjuntos en correos electrónicos
Las líneas de asunto de los correos electrónicos de phishing y el malware incluido en los archivos adjuntos han ayudado a identificar archivos específicos utilizados en los ataques de phishing basados en el sistema trampa de correo de Avast.
El contenido de los correos electrónicos se disfraza como comunicaciones comerciales estándar o correos electrónicos informativos.
El tipo más común de archivos adjuntos sospechosos han sido los archivos .pdf y .docx. Estos documentos de Microsoft Word generalmente contienen una imagen que parece una ventana emergente con un mensaje que solicita a los usuarios que habiliten el contenido de los documentos, lo que provoca una serie de cargas maliciosas, como se puede ver en las imágenes a continuación.
En el caso de los correos electrónicos .docx solo contienen una imagen con un mensaje y un código macro malicioso oculto, es decir que, si el usuario hace clic en «Habilitar edición”, se inicia la carga dañina y, por lo general, comienza a descargar malware que puede tomar el control de la computadora de la víctima.
El segundo tipo de archivo es un .pdf, el cual contiene una imagen que promete un descuento en combustible si el usuario hace clic en la imagen. En realidad, el usuario es redirigido a un sitio web sospechoso con contenido malicioso.
Es evidente que las empresas ucranianas no se han librado de los ataques de phishing, y los atacantes tienen como objetivo las infraestructuras de comunicación locales, los proveedores de redes y otros servicios.
Por ello, para protegerse de este tipo de ataques, Avast recomienda a los usuarios no abrir ni habilitar contenidos de archivos adjuntos desconocidos y sospechosos. Los datos recientes sugieren que los ataques de phishing contra los ucranianos se han ralentizado, lo que probablemente se deba a los combates en curso y a que las personas pasan menos tiempo en línea. Avast continuará monitoreando las actividades de phishing en la región.