Los ciberdelincuentes utilizan la guerra en Ucrania para robarte por internet

El conflicto en Ucrania está provocando una oleada de correos electrónicos fraudulentos y maliciosos, con campañas de "malspam", que instalan troyanos en los ordenadores de los usuarios, y estafas criptográficas con la excusa de la crisis humanitaria.La firma de ciberseguridad Bitdefender ha publicado un nueva investigación en la que alerta de los peligros que pueden correr los internautas.

Las estafas criptográficas de caridad se están intensificando y en ellas los responsables se hacen pasar por el gobierno ucraniano, la ONG Act for Peace , Unicef o el Fondo de Alivio de Crisis de Ucrania, para solicitar ayuda financiera. Algunas de las frases que aparecen en el asunto del correo electrónico son “ayudad a Ucrania, parad la guerra”; “dona para Ucrania, ayuda a salvar vidas: por favor leer” o “¡Urgente! Ayuda para los niños en Ucrania".

Este tipo de estafas alcanzaron su punto álgido el pasado día dos, cuando una campaña con el asunto: "Stand with the people of Ukraine. Ahora aceptamos donaciones en criptodivisas. Bitcoin, Ethereum y USDT" procedente de direcciones IP de China llegó a decenas de miles de bandejas de entrada. "Hasta ahora, hemos observado que los atacantes reaccionaron muy rápidamente a los anuncios legítimos de Ucrania y otras organizaciones imitando el formato de sus mensajes”, advirtió el director de Investigación Antispam de Bitdefender, Adrian Miron.

Por ello, se espera que la variedad de campañas de "phishing" y "malware", así como el volumen de mensajes enviados diariamente, “aumenten constantemente, y que los atacantes adapten sus métodos de persuasión en consecuencia".

La empresa de ciberseguridad recomienda extremar la vigilancia durante este periodo, con medidas como no hace clic en los enlaces o ficheros adjuntos que piden donaciones urgentes de dinero y hacerlas solo a través de organizaciones benéficas y sin ánimo de lucro o recaudadores de fondos oficiales y de confianza.

El informe de Bitdefender también destaca la existencia de “múltiples campañas” de "malspam" (correo no deseado malicioso) que están instalando en los ordenadores de quienes las reciben los troyanos de acceso remoto Agent Tesla y Remcs. El primero es un "malware" (código malicioso) capaz de filtrar información confidencial, incluidas credenciales, pulsaciones de teclado y datos del portapapeles de los equipos infectados.

Los datos de Bitdefender indican que la campaña parece estar dirigida a organizaciones de la industria manufacturera a través de un archivo adjunto .zip, en la que piden a los receptores que rellenen una encuesta sobre su planes ante la guerra en Ucrania. Los ataques se originan “aparentemente” en direcciones IP de Países Bajos (86 %) y Hungría (3 %), mientras que los principales receptores están en Corea del Sur (23 %), República Checa (14 %), Alemania (10 %), Reino Unido (10 %) y Estados Unidos (8 %).

El troyano de acceso remoto Remcos, por su parte, permite a los atacantes capturar pulsaciones de teclado, capturas de pantalla, credenciales u otra información confidencial del sistema y exfiltrarla directamente a sus servidores. Los atacantes se hacen pasar por una empresa sanitaria con sede en Corea del Sur especializada en analizadores de diagnóstico in vitro y usan un archivo adjunto de Excel. El mensaje cita el conflicto en Ucrania y pregunta a los destinatarios si quieren poner uno de sus pedidos en espera hasta que se reabran los envíos y los vuelos.

Los correos electrónicos maliciosos se originan en direcciones IP de Alemania y de Estados Unidos, mientras los destinos principales son Irlanda (32 %), India (17 %), Estados Unidos (7 %), el Reino Unido (4 %) y Alemania (4 %). 

Incibe alerta de otra estafa

El Instituto Nacional de Ciberseguridad (Incibe) ha detectado una campaña de correos electrónicos fraudulentos que suplantan la identidad de la empresa de transportes Seur y solicita al usuario realizar un pago de 2,99 euros en concepto de gastos de envío de un paquete. La estafa consiste en un correo malicioso que avisa al usuario de que el paquete está pendiente de ser entregado y se debe confirmar el pago de los gastos de envío (2,99€), ha alertado el Incibe en un comunicado.

Al pulsar sobre el enlace, el usuario es redirigido a una página que intenta imitar a la legítima, donde se le indica que debe ingresar sus datos y pagar 2,99€ para confirmar los gastos de envío y la dirección de entrega del paquete. Los campos del formulario son para recabar los datos de los usuarios. Tras pulsar en el botón “Pagar”, el usuario es redirigido a una página con un formulario, donde se solicita un código que supuestamente le debería llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibirá, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.