El Centro Nacional de Ciberseguridad (NCSC) ha vuelto a llamar la atención sobre un aumento de correos electrónicos peligrosos tras una breve pausa en las dos últimas semanas. Estos correos electrónicos utilizan pasajes de texto de correspondencia electrónica anterior para engañar a los destinatarios haciéndoles creer que ya se ha establecido contacto. Como tanto el remitente como la comunicación anterior resultan familiares a la víctima, aumenta la probabilidad de que ésta haga clic en un enlace contenido en el correo electrónico, lo que conduce a la instalación de malware. En este caso, se trata de "DarkGate", un malware con funciones avanzadas y un mecanismo que invita al ransomware.
La táctica engañosa: la antigua comunicación por correo electrónico como arma
El método de utilizar historiales de comunicación antiguos para llevar a cabo maniobras engañosas no es nada nuevo. Ya en 2019, el malware "Emotet" utilizó esta técnica, conocida como "phishing de dinamita", para engañar a las víctimas y conseguir que abrieran un documento. El malware buscaba correos electrónicos en los archivos de Outlook de las víctimas en los dispositivos infectados y los utilizaba para enviar el malware a otras víctimas potenciales. Como el destinatario conocía la antigua comunicación, aumentaba la probabilidad de que abriera el adjunto malicioso.
El legado del malware "Emotet" y su secuela con "Qakbot
Tras la desactivación temporal de la red "Emotet" a principios de 2021, el programa malicioso "Qakbot" se hizo cargo de este método utilizando la antigua comunicación. Aunque "Qakbot" ya se utilizaba desde hacía más de diez años, se distribuyó temporalmente a través de la red "Emotet" como módulo malicioso adicional. Curiosamente, en el verano de 2020, los autores de "Qakbot" implementaron un denominado "módulo de recopilación de correo electrónico" que utilizaba credenciales robadas para extraer correos electrónicos de los clientes de Microsoft Outlook de las víctimas y utilizarlos para otros ataques.
En agosto de 2023, "Qakbot" corrió una suerte similar a "Emotet". Las fuerzas de seguridad de Estados Unidos y Europa tomaron el control de la infraestructura de mando y control de la botnet. Como resultado, los atacantes perdieron el control de los ordenadores infectados. Sin embargo, los autores no fueron capturados y la infraestructura de spam sólo se desmanteló parcialmente.
El auge de "DarkGate": una nueva amenaza con funciones ampliadas
En las últimas semanas, "DarkGate" se ha convertido en el centro de atención, ya que este malware utiliza la tecnología de comunicación antigua. En este caso, se adjunta al mensaje de spam un documento PDF que contiene un enlace al malware.
"DarkGate" lleva activo desde 2017, pero no ha sido hasta este verano cuando el malware ha adquirido mayor notoriedad cuando el supuesto desarrollador ha anunciado nuevas funcionalidades. Estas características van más allá de las de un downloader tradicional e incluyen acceso remoto oculto, un proxy inverso y un robador de tokens de Discord, así como la capacidad de robar el historial de navegación. Se cree que los grupos delictivos que antes utilizaban "Qakbot" se han pasado ahora a "DarkGate".
Vieja comunicación, nuevo abuso
Cabe destacar que algunas de las comunicaciones utilizadas en las últimas variantes del malware son muy antiguas. En este caso, se remonta a 2017, por lo que cabe suponer que el malware no intercepta actualmente comunicaciones de correo electrónico actuales, sino que accede a bases de datos robadas hace años por otros actores.
Según un informe del proveedor de servicios de seguridad Trendmicro, "DarkGate" también utiliza otros canales de comunicación y se propaga a través de cuentas pirateadas de Skype y Microsoft Teams, por ejemplo. De forma similar a la táctica del correo electrónico, la cuenta de Skype comprometida ya ha estado en contacto con la víctima y parece proporcionarle un archivo PDF. Sin embargo, en realidad se trata de un script VB (Visual Basic Script) malicioso. Este script intenta descargar e instalar el malware.
El NCSC ofrece los siguientes consejos para protegerse de las infecciones por malware:
- Tenga en cuenta que correos electrónicos maliciosos también pueden proceder de remitentes que usted reconoce.
- Esté atento si se reanuda inesperadamente una comunicación previamente interrumpida.
- Abra con precaución los archivos adjuntos a los correos electrónicos, aunque procedan de fuentes supuestamente fiables.
Fuente de referencia
Esta información es cortesía del Centro Nacional de Ciberseguridad (NCSC). Visite el sitio web oficial del NCSC para obtener más información y recursos sobre ciberseguridad: https://www.ncsc.admin.ch/ncsc/de/home.html.