Un vistazo a la situación de phishing y malware en México (Julio - Septiembre 2015)

 

Resumen

Durante este trimestre, las campañas de phishing más interesantes estuvieron relacionadas con Apple, específicamente iCloud, con LinkedIn y con los bancos brasileños. El sitio falso de iCloud destaca debido a que estuvo relacionado con el robo de un celular, es decir, este caso involucra el robo de un bien tangible y el intento de robo de sus datos. Por otro lado, Bancomer y Santander siguen siendo las instituciones bancarias más afectadas por phishing en México. También se observaron correos falsos, no vistos en los trimestres anteriores, de Banregio y Banco Afirme.

En cuanto a malware lo más común, y de hecho el único tipo de archivo adjunto que se recibió, fueron los documentos maliciosos de Word.

 

 

Introducción

Gracias a todos los usuarios que nos reportan los correos o archivos sospechosos que llegan a sus cuentas. Con su ayuda el UNAM-CERT ha dado de baja varios sitios phishing. Los invitamos a seguir haciéndolo, ya sea a phishing@cert.unam.mx o a malware@cert.unam.mx.

 

 

Phishing

A continuación se muestran algunos ejemplos de los casos de phishing y malware que se recibieron entre julio y septiembre de este año.

 

·        iCloud

Este trimestre el caso más interesante estuvo relacionado con un sitio falso de iCloud. El usuario envió un correo explicando que, después de que su celular fue robado, le empezaron a enviar mensajes con un enlace a un sitio falso de iCloud. Al ingresar un ID de Apple y una contraseña, éstos eran almacenados en el servidor y, para no levantar sospechas, el usuario era redirigido a una página de error del sitio legítimo de iCloud.

El usuario afectado reportó la URL y envió capturas de la pantalla de su celular, donde se pueden observar los mensajes que indican que su iPhone fue supuestamente localizado y que debe consultar el enlace para “ver el registro de las últimas ubicaciones”.

 

 

 

·        Apple

Otro intento de phishing para robar las credenciales relacionadas con las cuentas de Apple se muestra en la siguiente imagen. Con el pretexto de verificar la información de la cuenta, porque supuestamente está incompleta, se le pide al usuario que de clic en el enlace y que envíe sus datos personales. Llama la atención que el mensaje no tiene un uso adecuado de signos de puntuación.

 

 

·        SAT

La cantidad de correos falsos del SAT aumentó considerablemente, del 2.22% el trimestre pasado a 10.28%. Hay dos tipos:

-          Uno incluye un archivo de Word de los que solicitan permitir las macros para descargar ejecutables maliciosos.

-          El otro contiene un enlace que redirige al sitio oficial de Hotmail, donde se solicitan las credenciales de inicio de sesión (usuario y contraseña). Una vez que el usuario se ha autenticado, se muestra una pantalla donde se le informa que una supuesta aplicación solicita permisos para acceder a la información del perfil y a la lista de contactos. Si por error aceptaste darle permisos a una aplicación similar, puedes seguir los pasos que se mencionan en este reporte para removerla.

 

·        Spotify

Los correos phishing de Spotify indicaban al usuario que había ganado dos meses gratis del servicio y que para activarlos sólo tenía que “dar de alta” su correo electrónico.

 

 

·        LinkedIn

Otro de los correos que no se habían recibido antes fue el del sitio falso de LinkedIn, que también intentaba robar las cuentas de los usuarios.

 

 

·        Banco Afirme

También se recibieron correos supuestamente enviados por Banco Afirme. Como se observa en el ejemplo, esta campaña es diferente de las relacionadas con otros bancos en que carece de detalles, además de que las imágenes fueron removidas rápidamente de los sitios donde fueron alojadas.

 

 

·        Banregio

Los correos relacionados con BanRegio también incluían documentos de Word maliciosos, en los que supuestamente se incluían los detalles de una transferencia de más de 20 mil pesos retenida por anomalías.

 

 

·        Profeco

Otro caso interesante, aunque ya se había recibido en meses anteriores, fue el de un correo que supuestamente venía de la PROFECO (Procuraduría Federal del Consumidor en México) que decía enviar la revista del consumidor con el estudio a todas las gasolineras del país. El archivo adjunto era en realidad un documento de Word malicioso.

 

 

Bancos Brasileños

Dado que la cantidad de correos phishing relacionados con entidades bancarias brasileñas también aumentó, a continuación se muestran algunos ejemplos.

 

·        Banco do Brasil

En el caso de Banco do Brasil, estos correos pedían a los usuarios actualizar sus datos de registro, ya sea debido a una mejora de las medidas de seguridad del banco o a fallas en su página web, para evitar la suspensión de los servicios y el bloqueo de las tarjetas de crédito y débito.

 

 

·        Bradesco

Los correos que suplantaron a Bradesco intentaban engañar al usuario diciendo que su “tarjeta de llaves de seguridad” había expirado y que debía ser reactivado para evitar pagar y que se bloquearan sus servicios.

 

 

·        Caixa

Los correos falsos del banco Caixa también hacían uso del pretexto de actualización de datos para evitar que la cuenta fuera bloqueada.

 

 

 

·        ITAU

La sincronización del tóken de seguridad, también para evitar que la cuenta fuera bloqueada, fue el tema utilizado en esta campaña de phishing del banco ITAÚ.

 

 

 

Malware

Además de los documentos de Word maliciosos, se recibieron muchos correos suplantando la identidad de instituciones brasileñas y que incluían un enlace para descargar malware. En total, este tipo de correos representó el 7.01%. En la mayoría de los casos se trataba de variantes de troyanos bancarios.

Estos funcionan de forma modular, donde el primer ejecutable o script se encarga de preparar el equipo infectado, en algunos casos descargando programas de terceros para desinstalar el software de seguridad y bloqueando el tráfico de red relacionado con estas aplicaciones, para después descargar el payload, cuya función es robar datos bancarios del usuario cuando detecta que trata de acceder a su banca en línea. Un análisis detallado de uno de los troyanos bancarios recibidos en este trimestre se puede consultar en esta entrada del blog.

 

Estadísticas

Las estadísticas que se muestran a continuación están basadas en los correos electrónicos enviados al equipo de análisis de malware del UNAM-CERT a través de [phishing at cert dot unam dot mx] y [malware at cert dot unam dot mx] entre el 24 de junio abril y el 23 de septiembre del 2015. Esto no representa la situación de Phishing en México en su totalidad sino que es, como indica el título, un “vistazo” de los ataques de phishing que se  observaron en nuestro país en los últimos tres meses. Aquellos correos relacionados con spam fueron descartados.

Tal como sucedió el trimestre pasado, las instituciones bancarias fueron los blancos más comunes de los ataques phishing, representando el 69.16% en total. De este porcentaje, el 62.62% estuvo enfocado a bancos en México (Bancomer, Banamex, Santander, Scotiabank, Banorte, Banregio, Afirme y HSBC) y el 6.54% estuvo relacionado con bancos en Brasil (Banco do Brasil, Bradesco, Caixa e Itau). A grandes rasgos, el porcentaje de bancos afectados es prácticamente el mismo con respecto al trimestre anterior; sin embargo, la cantidad de correos relacionados con bancos brasileños se duplicó este trimestre (3% el trimestre anterior).

Por otro lado, los correos suplantando alguna entidad de gobierno mexicana concentraron el 11.68% del phishing durante el periodo julio – septiembre, siendo el SAT (Servicio de Administración Tributaria) el más afectado con el 10.28%, seguido de la CFE (Comisión Federal de Electricidad) con 0.93% y de Profeco (Procuraduría Federal del Consumidor) con 0.47%.

Mientras que las empresas relacionadas con la compra, venta o pagos en línea (Mercado Libre, Amazon, Visa y PayPal) ocuparon el 2.34%.

 

De todos estos correos, la mayoría incluía enlaces para redirigir al usuario a sitios maliciosos, ya sea para robar sus datos o para descargar malware. Sólo el 7.01% contenía archivos adjuntos, es decir, menos de la mitad a comparación de lo que se recibió el trimestre pasado (16% de correos con archivos adjuntos).

 

De este 7.01%, la mayoría de los archivos adjuntos fueron documentos de Word (.doc). En menor cantidad fueron archivos PDF, aunque estos no eran realmente maliciosos sino sólo spam, como la típica estafa de la lotería de Bill Gates o de una herencia obtenida.