Cabecera blog ciberseguridad

Ojo con los infostealers en el Black Friday y la Navidad

- Ciber 4 All Team
El uso de infostealers en el Black Friday y la Navidad supone una amenaza

Los actores maliciosos usarán infostealers en el Black Friday y la Navidad para colarse en las empresas en un momento crítico para su actividad, ya que existirá mucho más tráfico a webs de comercios y las víctimas están más dispuestas a clicar en mails/SMS/anuncios, etc.

A finales de mayo, la Europol anunció que había conseguido desarticular el complejo ecosistema de Lumma Stealer, uno de los infostealers que más daños ha causado en los últimos años. En la operación se desmanteló la infraestructura técnica de Lumma Stealer que incluía un marketplace para comercializar la información robada.

A pesar de ello, meses después expertos en ciberseguridad detectaron que los actores maliciosos detrás de Lumma Stealer habían retomado sus operaciones, aunque sin cosechar el éxito de antaño, después de que se expusieran las identidades de miembros clave del grupo.

Lumma Stealer, al igual que otros infostealers, permite obtener datos sensibles almacenados en los dispositivos infectados: credenciales de acceso a software, información financiera, datos personales de clientes… Para ello, el programa debe pasar desapercibido a ojos de la víctima el mayor tiempo posible. ¿Por qué los actores maliciosos recurren al uso de infostealers? Les permiten obtener información crítica que puede ser vendida o empleada para lanzar nuevos ataques contra sus víctimas o sus clientes.

1. El auge de los infostealers

Esta clase de malware está viviendo un nuevo boom. De ahí que sea fundamental estar alerta ante el posible uso de infostealers en el Black Friday y la Navidad para atacar a las empresas en el momento más crítico del año para muchas de ellas.

De hecho, muchos grupos delictivos están virando su modelo de negocio criminal hacia el uso de infostealers. ¿Por qué? Los últimos datos reflejan que los ataques de ransomware han disminuido, como consecuencia de que cada vez menos empresas están dispuestas a pagar los rescates, una práctica desaconsejada por expertos y autoridades.

De tal forma que en los últimos meses se han detectado ataques de infostealers sofisticados técnicamente como Vidar 2.0 o la última versión de Atomic macOS, y que se sustentan sobre un modelo de negocio de Malware-as-a-Service ofreciendo a miles de potenciales delincuentes la posibilidad de lanzar ataques a un módico precio y sin necesidad de disponer de elevados conocimientos ni recursos.

A continuación, te vamos a explicar por qué las empresas deben afrontar la amenaza que suponen los infostealers en el Black Friday y la Navidad.

2. Quién está en la diana de los infostealers y cómo infectan los dispositivos de sus víctimas

El uso de infostealers es común en todos los sectores de actividades, ninguna empresa está a salvo. Por eso debemos insistir en que las empresas que vendan de forma online sus productos deban sí o sí prestar atención a los infostealears en el Black Friday y la Navidad. De lo contrario, se exponen a que los actores maliciosos tengan acceso a sus ecommerce y puedan conseguir información sobre sus ventas, finanzas y clientes.

En cuanto a las víctimas de los infostealers es importante tener en cuenta que ningún profesional está a salvo. Si bien, se han detectado campañas específicas contra desarrolladores de softwares o responsables de ventas.

Para infectar los dispositivos de sus víctimas, los actores maliciosos o bien buscan engañarlas, consiguiendo que realicen acciones que no deberían, o bien explotan vulnerabilidades presentes en el software y equipos de las empresas o de los profesionales que usan dispositivos personales para trabajar.

Esta cuestión es particularmente crítica durante el Black Friday o la Navidad, puesto que las víctimas están más dispuestas a clicar «donde no deben» y ejecutar así el infostealer. Además, se produce un incremento significativo de uso de credenciales en plataformas de compra online.

Es decir, como sucede a menudo en el terreno de la ciberseguridad, la ingeniería social juega un papel clave.

En los últimos meses se han dado a conocer campañas de propagación de infostealers que recurren a técnicas más o menos novedosas como las ofertas de trabajo fake, el malvertising en buscadores como Google o videos fake en redes sociales en los que entra en juego la técnica ClickFix. ¿Con qué objetivo? Conseguir que los profesionales de las empresas ejecuten un comando o descarguen un archivo o un programa malicioso sin ser conscientes de ello.

El uso de la IA generativa ha permitido a los actores maliciosos escalar campañas cada vez más extensas y realistas que no levantan suspicacias y que sirven para engañar a los profesionales.

A todo ello debemos sumar, también, que muchos profesionales emplean dispositivos personales para acceder a software corporativo y que sus credenciales se almacenan en ellos. Estos dispositivos se escapan, en la mayoría de los casos, a la supervisión de los responsables de ciberseguridad y, por lo tanto, son más vulnerables a los ataques.

Los infostealers en el Black Friday y la Navidad pueden causar enormes pérdidas a las empresasa

3. Qué información pueden conseguir los actores maliciosos gracias a los infostealers

No todos los infostealers sirven para recabar la misma clase de datos, pero entre la información que buscan los actores maliciosos en las empresas que atacan podemos destacar:

  • Información sobre cuentas bancarias y tarjetas de crédito usadas por los clientes para adquirir productos en ecommerce o contratar servicios de forma online.
  • Credenciales de acceso a software corporativo almacenadas en los navegadores: ecommerce, programas de gestión, gestores de correo electrónico, plataformas de redes sociales, etc.
  • Cookies de autenticación, claves para acceder de manera ilegítima a programas que requieren doble factor de autenticación.
  • Historial de navegación de sus víctimas.
  • Capturas de pantalla de los dispositivos infectados.
  • Credenciales para entrar en la VPN de una empresa.
  • Archivos descargados en los equipos atacados.

De tal forma que los actores maliciosos pueden:

  • Obtener información crítica sobre una empresa en ámbitos como el comercial o el financiero, así como propiedad intelectual e industrial.
  • Conseguir datos personales y financieros sobre los clientes de un negocio.

¿Qué uso se le puede dar a este caudal de información?

  • Emplearla para lanzar campañas de ingeniería social y fraudes digitales contra los consumidores.
  • Suplantar la identidad de una compañía o un profesional para cometer estafas.
  • Vendérsela a la competencia de la empresa atacada.
  • Comercializar los datos a través de los marketplaces maliciosos en la Dark Web.
  • Usarla para poner en marcha otros ataques contra la empresa objetivo como el despliegue de ransomware u otros programas maliciosos que menoscaben su operatividad.
  • Alterar el funcionamiento de una compañía tomando el control de programas clave. Por ejemplo, modificando los pedidos de un ecommerce o manipulando los emails recibidos o enviados desde un gestor de correo electrónico.

4. Por qué debemos prestar atención a la amenaza de los infostealers en el Black Friday y la Navidad

Un reciente estudio estima que los infostealers están presentes en el 35% de las amenazas que pueden causar interrupciones en los servicios de las empresas.

Este dato evidencia la importancia de que las empresas cuenten con estrategias para evitar las cuantiosas pérdidas económicas que pueden provocar los infostealers en el Black Friday y la Navidad. Sobre todo, las compañías que cuentan con ecommerce y lanzan campañas comerciales ambiciosas durante las últimas semanas del año.

Paradójicamente, en muchos negocios ocurre exactamente lo contrario. Al aumentar el número de operaciones que se realizan en los ecommerce, también crecen los descuidos de los profesionales y los actores maliciosos tienen más opciones de lograr infectar dispositivos personales y corporativos.

Además, el aumento de las operaciones también provoca que el uso de infostealers en el Black Friday y la Navidad sea más atractivo para los ciberdelincuentes. Puesto que pueden obtener un mayor volumen de información crítica: lista de clientes, datos personales y financieros de los consumidores, información sobre la estrategia comercial, etc.

Los e-commerce están en el punto de mira de los actores maliciosos

5. Cómo pueden las empresas combatir los infostealers en el Black Friday y la Navidad

Habida cuenta de lo que hemos ido desgranando, resulta evidente que no podemos perder de vista los infostealers en el Black Friday y la Navidad, puesto que los actores maliciosos tienen mucho que ganar accediendo al software empresarial y las compañías mucho que perder.

¿De qué forma se pueden preparar los negocios para hacer frente a los infostealers en el Black Friday y la Navidad? En esta tarea entran en juego medidas de seguridad básicas y la inversión en servicios de ciberseguridad. Así, las compañías deben:

  • Implementar la autenticación multifactor para acceder a las cuentas corporativas, exigiendo el uso de varios dispositivos para autenticarse. Por ejemplo, el ordenador profesional y el móvil.
  • Limitar los permisos de seguridad de cada usuario para que cada profesional solo pueda acceder a la información que necesita para realizar su trabajo.
  • Formar a los profesionales e incrementar la capacidad de la organización para hacer frente a las campañas de ingeniería social mediante cursos de formación y test de ingeniería social que simulen ataques realistas.
  • En situación de que, gracias a la información proporcionada por un infostealer, un actor malicioso acceda a servicios corporativos, es crítico que dichos servicios reciban:
    • Auditorías de seguridad web continuas, especialmente en los ecommerce. De tal forma que se puedan detectar vulnerabilidades antes de que sean explotadas y constatar la presencia de actividad maliciosa en la infraestructura de una empresa cuanto antes.
    • Servicios de pentesting para comprobar qué vulnerabilidades podrían explotar los actores maliciosos para acceder al software corporativo y conseguir información crítica sobre una empresa y sus clientes.
  • Para cuando ya es demasiado tarde como para evitar el impacto, es imprescindible contar con un servicio de respuesta a incidentes proactivo que pueda actuar de manera inmediata cuando se detecta la presencia de malware para contener su propagación, limitar la información a la que hayan podido acceder los delincuentes y expulsarlos.

6. Conclusión

En definitiva, aunque en los últimos años los ransomware han acaparado la atención de la opinión pública, los ataques con infostealers se han mantenido constantes y, ante el declive de los ransomware, muchos modelos de Malware-as-a-Service están apostando por esta clase de programa malicioso.

Como consecuencia de ello, el uso de infostealers en el Black Friday y la Navidad supone una amenaza de primera magnitud para cientos de miles de empresas que obtienen gran parte de sus ventas en esta época del año.

¿Por qué? Los infostealers permiten a los actores maliciosos obtener los datos que necesitan para acceder a programas y documentos críticos desde el punto de vista comercial y financiero. La campaña más importante para la generación de ventas se puede convertir en un momento aciago para una compañía víctima de un infostealer.