Publicado 22/07/2020 12:05CET

Detectan una campaña de ataques mediante la técnica de 'falsa descarga' dirigida a usuarios en España

Recurso descarga de archivos
Recurso descarga de archivos - PIXABAY

   MADRID, 22 Jul. (Portaltic/EP) -

   La técnica de 'falsa descarga' protagoniza una campaña de ataques digirida a usuarios españoles para distribuir programas maliciosos o 'malware' de tipo bancario mediante técnicas de ingeniería social.

   Una campaña de distribución de 'malware' se dirige a los usuarios a través del email, donde les convencen para descargar un archivo con el pretexto de una actualización de software u otro documento aparentemente inofensivo.

   Este tipo de ataque se conoce como 'falsa descarga', y utiliza técnicas de ingeniería social para convencer a las víctimas de que ejecuten una descarga. Como explican desde la compañía de ciberseguridad Proofpoint, basa su éxito en que se aprovecha de los usuarios dispuestos a seguir buenas prácticas en ciberseguridad. "No es algo nuevo", pero "sí bastante efectiva", señalan.

   Entre los meses de junio y julio de este año se han enviado miles de mensajes de este tipo a organizaciones de España y también de Alemania, Canadá, Estados Unidos, Francia, Italia o Reino Unido, como recoge el comunicado enviado a Europa Press. Entre los sectores objetivo figuraban el sistema educativo, la Administración Pública o la fabricación industrial.

   Según datos de Proofpoint, a principios de julio se observó una campaña de ataques del TA569 con cerca de 18.000 mensajes, que incluían enlces a páginas web comprometidas con inyecciones de HTML SocGholish.

   Eran estas inyecciones de código las que se encargaban de analizar la geolocalización, el sistema operativo y el navegador del usuario. Si el entorno del usuario cumplía con unas condiciones específicas, se le mostraba una página de actualización simulada del navegador.

   Estas páginas emplean ingeniería social para convencer a las posibles víctimas de realizar una determinada acción, ya sea pulsar un botón, descargar un archivo en JavaScript o HTA. Al ejecutarse, el 'script' registra la huella digital del sistema para descargar y distribuir la siguiente etapa del 'malware', una vez verificada la geografía del usuario.

   El 'malware' analizado por Proofpoint contiene en este caso un troyano bancario (Chthonic) y/o un 'software' de control remoto (NetSupport). Chthonic es una variante del troyano bancario Zeus, mientras que NetSupport es una aplicación de acceso remoto legítima que suele ser empleada con asiduidad por los ciberdelincuentes.

   Desde la compañía indican que estas campañas de ataque demuestran que "tanto el 'malware' como las tácticas de los ciberdelincuentes no tienen por qué ser novedosas para surtir efecto". Por eso, desde Proofpoint recalcan la importancia de que las estrategias de ciberseguridad de las organizaciones contemplen formación continuada e integral para concienciar a los empleados acerca de métodos de ataque, detección y prevención de amenazas.

Para leer más