Terminó el primer trimestre de 2017 y los ánimos de fiesta también; las clases ya comenzaron, la carga de trabajo volvió a ser la de siempre y los cibercriminales pusieron manos a la obra para seguir propagando sus engaños.

Hoy te traemos un nuevo resumen de amenazas, en el que repasaremos los 10 casos más resonantes que pasaron por los Laboratorios de Investigación de ESET en el mundo durante los últimos tres meses.

#1 Un ransomware para Android... ¡que habla!

Así como lo lees: Jisut, más específicamente Android/LockScreen.Jisut, es capaz de hablarle a sus víctimas para instarlas a que paguen el rescate. Una vez hecha la infección, una voz femenina dice en chino que el precio para desbloquear el equipo es 40 yuanes (aproximadamente 6 dólares).

Este malware se propaga a través de una aplicación maliciosa, que incluye un dropper usado para descifrar y ejecutar el payload. Para dificultar su eliminación o desinstalación, se le pide a la víctima que conceda derechos de administrador.

El siguiente video muestra paso a paso el funcionamiento de la amenaza:

 

#2 Un phishing que roba credenciales de Netflix

Con la excusa de tener que actualizar la información de pago, este correo falso se envió a usuarios de Netflix de habla hispana buscando robar sus contraseñas del servicio.

Pero el saludo genérico y el dominio incorrecto sirven como señales para detectar que se trata de un engaño. Si bien el sitio a donde redirecciona el correo es un “sitio seguro” con HTTPS, la página de destino es “nettflix.ml" y no “netflix.com”. Por lo tanto, quienes hacen clic están entrando en un sitio completamente ajeno a la compañía.

#3 Un troyano que emula tus clics para descargar malware

Descubrimos una aplicación maliciosa destinada a usuarios de Android, que imita a Adobe Flash Player y funciona como potencial puerta de entrada para muchos tipos peligrosos de malware. ESET la detecta como Android/TrojanDownloader.Agent.JI y se distribuye a través de sitios web comprometidos, como páginas de contenido para adultos, y también vía redes sociales.

Luego de la instalación se suceden múltiples pantallas engañosas y se muestra un bloqueo de pantalla falso sin una opción para cerrarlo. De esta manera, se cubre la actividad maliciosa que está ocurriendo por detrás: se imitan clics del usuario para descargar, instalar, ejecutar y activar derechos de administrador del dispositivo para otros malware.

#4 ¿Internet gratis o engaño?

Descubrimos un engaño que promete un servicio de internet gratis sin necesidad de utilizar Wi-Fi ni datos móviles. Como de costumbre, llega a través de mensaje en grupos de WhatsApp o de contactos conocidos que lo recomiendan.

1_whastapp_wifi

Si el usuario ingresa al enlace, el portal detectará el idioma del dispositivo e inducirá al visitante a compartir el enlace al menos 13 veces. Así, se propaga el fraude.

#5 Mods de Minecraft falsos en Google Play

Los jugadores de Minecraft que descargan mods, es decir, extensiones que modifican el videojuego original para añadirle nuevos componentes, se vieron expuestos a riesgos en Google Play, ya que encontramos 87 mods falsos que alcanzaron un total de hasta 990.000 instalaciones.

Las aplicaciones se pueden dividir en dos categorías: por un lado, un downloader que muestra anuncios publicitarios, detectado por ESET como Android/TrojanDownloader.Agent.JL; y por el otro, apps falsas que redirigen a los usuarios a sitios fraudulentos, detectadas como Android/FakeApp.FG.

#6 Phishing destinado a clientes de Bancolombia

Esta campaña se propagaba a través de correos falsos simulando provenir de Bancolombia, una importante entidad financiera de Colombia, y no solo tenía como objetivo robar credenciales o números de tarjetas de crédito, ya que también llevaba a la víctima a responder al menos 35 preguntas personales para obtener muchos datos más.

Los ciberdelincuentes intentaron despistar a los usuarios utilizando, dentro del dominio, un subdominio llamado https. Sin emargo, no está relacionando a un certificado de seguridad real, como podemos distinguir en la imagen extraída del cuerpo del correo:

#7 Ladrones de credenciales de Instagram, troyanos invasivos y bloqueadores de pantalla, todo en Google Play

Los mods falsos de Minecraft no fueron los únicos que invadieron Google Play este trimestre, ya que también encontramos apps maliciosas utilizadas para robar credenciales de Instagram, que aparecían disponibles para ser descargadas en la tienda disfrazadas de herramientas para administrar o incrementar el número de seguidores en la red social.

También detectamos un troyano que al menos 5.000 usuarios descargaron creyendo que se trataba de una herramienta para obtener contenido de YouTube. La aplicación, detectada por ESET como Android/Hiddad.BZ, abre una gran cantidad de molestas pantallas con anuncios publicitarios y le dice al usuario que los eliminará solo si este le da una calificación de cinco estrellas.

Por último, encontramos un malware bancario con capacidades de bloqueo de pantalla escondido en una imitación maliciosa de Good Weather, una aplicación genuina de pronóstico del tiempo. ESET detecta a esta app falsa como Trojan.Android/Spy.Banker.HU.

#8 Ransomware criptográfico que apunta a macOS

Este nuevo ransomware, detectado por ESET como OSX/Filecoder.E, tiene como objetivo a usuarios de macOS y se propaga en sitios de distribución de BitTorrent, haciéndose pasar por "Patcher”, una supuesta aplicación para piratear software popular como Adobe Premiere Pro y Microsoft Office.

La mala noticia es que, en caso de infección, no hay descifrado posible, ni siquiera en manos de sus creadores. Sucede que el malware no tiene ningún código para comunicarse con un servidor de C&C, o sea que no hay forma de que la llave que se usó para cifrar los archivos pueda ser enviada a los operadores del malware.

#9 Malware dirigido contra bancos polacos e instituciones en Latinoamérica

Peter Kálnai, investigador de ESET, analizó el contenido de una campaña de ataques a bancos de Polonia e instituciones de diversas nacionalidades que se extienden hasta Latinoamérica, incluyendo a México y Uruguay.

#10 Correos falsos en Argentina simulan provenir de AFIP

El señuelo utilizado por los ciberdelincuentes es un correo que simula provenir de la Administración Federal de Ingresos Públicos de Argentina (AFIP), en el que se habla de impuestos pendientes de pago y posibles multas.

El archivo adjunto es un antiguo exploit detectado por ESET como Win32/Exploit.CVE-2012-0158.ADI; su función es explotar una vulnerabilidad en Microsoft Word que luego le permitirá descargar malware al equipo infectado. Las víctimas que no cuenten con una solución de seguridad correctamente actualizada muy probablemente pasarán a formar parte de una botnet, infectándose con Beta Bot, detectado como Win32/Neurevt.I.

Este código malicioso tiene diversas funcionalidades manejadas remotamente por un botmaster o ciberdelincuente, que van desde el robo de información sensible y el minado de criptomonedas  hasta el envío de spam, pasando por la geolocalización de víctimas y ataques DDoS.

Como verás, el primer trimstre del año no fue nada tranquilo. ¿Recuerdas algún otro caso resonante en este período?