Avast observó un aumento de las amenazas que utilizan la ingeniería social para robar dinero, como fraudes de reembolsos y facturas, así como estafas de soporte técnico, durante el cuarto trimestre de 2022. Los ciberdelincuentes también se mantuvieron activos en el espionaje y el robo de información, con campañas de adware con temática de lotería utilizadas como táctica para obtener los datos de contacto de las personas.
Los investigadores de amenazas de Avast también descubrieron exploits de día cero en Google Chrome y Windows que ya han sido parchadas. Estos datos se recogen en el Informe sobre amenazas del cuarto trimestre de 2022 de Avast.
A finales de 2022, vimos un aumento de las amenazas centradas en el ser humano, como las estafas que engañan a las personas haciéndoles creer que su computadora está infectada o que les han cobrado por productos que no han pedido. Es propio de la naturaleza humana reaccionar ante la urgencia, el miedo y tratar de recuperar el control de los problemas y ahí es donde los ciberdelincuentes tienen éxito». Jakub Kroustek, Director de Investigación de Malware de Avast.
Aumento de los fraudes en devoluciones y facturas y de las estafas al servicio técnico
Los laboratorios de amenazas de Avast también observaron un aumento en la actividad de estafas de soporte técnico. Los países más afectados son Japón (6.86%), Estados Unidos (6.19%), México (5.47%), Canadá (5.37%) y Francia (2.92%). Estas estafas suelen comenzar con una ventana emergente que alerta de una supuesta infección de malware e invita a llamar a una línea de asistencia para resolver el problema.
Los estafadores convencen a la persona que llama para que establezca una conexión remota a su ordenador, lo que abre la puerta al robo de información personal y dinero, ya que los delincuentes intentan acceder a las cuentas bancarias o a las cripto carteras y piden un pago por sus servicios.
«Cuando las personas se enfrentan a mensajes emergentes o correos electrónicos sorprendentes, les recomendamos que mantengan la calma y se tomen un momento para pensar antes de actuar. Las amenazas son tan abundantes hoy en día que es difícil para los consumidores mantenerse al tanto. Nuestra misión es proteger a los usuarios detectando las amenazas y alertándolos antes de que estas puedan hacer daño, utilizando la última tecnología basada en IA», abundó Kroustek.
«Recomendamos a la gente que ignore estos mensajes emergentes y cierre la ventana con la tecla escape o si no es posible, reinicie la computadora. Además, nunca se debe dar acceso remoto a un equipo a alguien que no conoces».
Los laboratorios de amenazas de Avast también observaron un aumento de los fraudes de reembolsos y facturas del 14% de octubre a noviembre de 2022 y otro aumento del 22% en diciembre. El fraude de reembolso funciona de forma similar a las estafas de soporte técnico y suele presentarse en forma de un correo electrónico que es enviado por una empresa de confianza.
Los usuarios reciben un correo electrónico con un recibo falso que les hace creer que se les ha cobrado una compra que no han realizado. A continuación, se les engaña para que llamen a un número de teléfono, donde un agente les pide que creen una conexión remota a su ordenador y abran su cuenta bancaria, para que vean cómo se realiza el reembolso.
El objetivo del atacante es robar el dinero de la persona. En el caso del fraude de facturas, las víctimas y con mayor frecuencia las empresas, reciben facturas por bienes o servicios que la empresa nunca pidió ni recibió.
«Para evitar el fraude en facturas, hay que prestar mucha atención a lo que se recibe. Las facturas fraudulentas parecen legítimas y hay que comprobar si realmente se ha hecho un pedido, el servicio recibido y si el remitente es realmente quien pretende ser», afirma Kroustek.
Adware, ladrones de información, troyanos de acceso remoto y bots
El adware en la web también fue frecuente en el trimestre, no sólo molestando a la gente con anuncios intrusivos, sino también tratando de robar sus datos personales. Por ejemplo, se pide a la gente que participe en una lotería, girando una ruleta para ganar y luego se les pide que ingresen su información de contacto y paguen una «tarifa de manejo» utilizando su tarjeta de crédito o cuenta de Google o Apple Pay.
Los investigadores de Avast también vieron una avalancha de adware DealPly, que viene como una extensión de Chrome y envía información estadística y de búsqueda a los atacantes. El riesgo de infectarse por DealPly aumentó en todo el mundo, sobre todo en América, Europa, el sur y el sudeste de Asia.
Los investigadores de Avast observaron un aumento significativo del 333% en la propagación del ladrón de información Arkei en México, conocido por robar datos de los formularios de autorrelleno de los navegadores, contraseñas y otras fuentes.
A nivel mundial, también hubo un aumento del 57% en las personas y empresas protegidas contra AgentTesla, una cepa de malware que a menudo se propaga a través de correos electrónicos de phishing a empresas y diseñado para robar credenciales, así como un aumento de 37% en RedLine stealer, que a menudo se propaga en juegos y servicios crackeados, robando información de navegadores y wallets de criptomonedas.
La telemetría de Avast también muestra que la propagación global de LimeRAT creció un 180% en México en el cuarto trimestre. LimeRAT es un troyano de acceso remoto capaz de robar contraseñas, criptomonedas, dirigir ataques de denegación de servicio distribuido (DDoS) e instalar ransomware en la computadora de la víctima.
Estaba activo sobre todo en el sur y el sudeste de Asia y América Latina. La botnet Emotet, también distribuidora de malware con una amplia variedad de capacidades para robar información y propagar malware, ha evolucionado en los últimos meses su técnica para evadir la detección por parte del software antivirus mediante el uso de temporizadores para continuar incrementalmente la ejecución de la carga útil.
La red de bots de robo de información Qakbot también ha evolucionado y ha empezado a utilizar el «contrabando HTML» para ocultar un script malicioso codificado dentro de un archivo adjunto de correo electrónico. Por ejemplo, los actores de la amenaza han empezado a abusar de las imágenes SVG para ocultar cargas útiles maliciosas y el código utilizado para su reensamblaje.
Exploits de día cero
Los investigadores de Avast también descubrieron dos sofisticados exploits de día cero durante el trimestre. Avast protegió a sus usuarios ya que ambos fueron explotados in the wild. El primero, CVE-2022-3723, era una confusión de tipo en V8 y se utilizaba para realizar una «ejecución remota de código» (RCE) contra Google Chrome.
Avast informó de esta vulnerabilidad a Google, que rápidamente lanzó un parche en sólo dos días, el 27 de octubre de 2022. El segundo día cero, CVE-2023-21674, era una vulnerabilidad LPE en ALPC que permitía a los atacantes llegar desde el sandbox del navegador hasta el kernel de Windows. Microsoft parchó esta vulnerabilidad en la actualización del martes de parches de enero de 2023.
Además, el Informe sobre amenazas del cuarto trimestre de 2022 de Avast Threat Labs comparte información sobre spyware y lo último en troyanos bancarios móviles y troyanos SMS. Avast ayuda a proteger a sus usuarios de todas las amenazas incluidas en el informe.