El conflicto en Ucrania está provocando una oleada de correos electrónicos fraudulentos y maliciosos, con campañas de "malspam", que instalan troyanos en los ordenadores de los usuarios, y estafas criptográficas con la excusa de la crisis humanitaria. La firma de ciberseguridad Bitdefender ha publicado un nueva investigación en la que alerta de los peligros que pueden correr los internautas en este sentido.
Las estafas criptográficas de caridad se están intensificando y en ellas los responsables se hacen pasar por el gobierno ucraniano, la ONG Act for Peace, UNICEF o el Fondo de Alivio de Crisis de Ucrania, para solicitar ayuda financiera. Algunas de las frases que aparecen en el asunto del correo electrónico son "ayudad a Ucrania, parad la guerra"; "dona para Ucrania, ayuda a salvar vidas: por favor leer" o "¡Urgente! Ayuda para los niños en Ucrania".
Este tipo de estafas alcanzaron su punto álgido el miércoles, cuando una campaña con el asunto: "Stand with the people of Ukraine. Ahora aceptamos donaciones en criptodivisas. Bitcoin, Ethereum y USDT" procedente de direcciones IP de China llegó a decenas de miles de bandejas de entrada.
"Hasta ahora, hemos observado que los atacantes reaccionaron muy rápidamente a los anuncios legítimos de Ucrania y otras organizaciones imitando el formato de sus mensajes", advirtió el director de Investigación Antispam de Bitdefender, Adrian Miron. Por ello, se espera que la variedad de campañas de "phishing" y "malware", así como el volumen de mensajes enviados diariamente, "aumenten constantemente, y que los atacantes adapten sus métodos de persuasión en consecuencia".
Extremar la vigilancia
La empresa de ciberseguridad recomienda extremar la vigilancia durante este periodo, con medidas como no hacer clic en los enlaces o ficheros adjuntos que piden donaciones urgentes de dinero y hacerlas solo a través de organizaciones benéficas y sin ánimo de lucro o recaudadores de fondos oficiales y de confianza.
El informe de Bitdefender también destaca la existencia de "múltiples campañas" de "malspam" (correo no deseado malicioso) que están instalando en los ordenadores de quienes las reciben los troyanos de acceso remoto Agent Tesla y Remcs. El primero es un "malware" (código malicioso) capaz de filtrar información confidencial, incluidas credenciales, pulsaciones de teclado y datos del portapapeles de los equipos infectados.
Los datos de Bitdefender indican que la campaña parece estar dirigida a organizaciones de la industria manufacturera a través de un archivo adjunto .zip, en la que piden a los receptores que rellenen una encuesta sobre su planes ante la guerra en Ucrania. Los ataques se originan "aparentemente" en direcciones IP de Países Bajos (86 %) y Hugría (3 %), mientras que los principales receptores están en Corea del Sur (23 %), República Checa (14 %), Alemania (10 %), Reino Unido (10 %) y Estados Unidos (8 %).
El troyano de acceso remoto Remcos, por su parte, permite a los atacantes capturar pulsaciones de teclado, capturas de pantalla, credenciales u otra información confidencial del sistema y exfiltrarla directamente a sus servidores. Los atacantes se hacen pasar por una empresa sanitaria con sede en Corea del Sur especializada en analizadores de diagnóstico in vitro y usan un archivo adjunto de Excel.
El mensaje cita el conflicto en Ucrania y pregunta a los destinatarios si quieren poner uno de sus pedidos en espera hasta que se reabran los envíos y los vuelos. Los correos electrónicos maliciosos se originan en direcciones IP de Alemania y de Estados Unidos, mientras los destinos principales son Irlanda (32 %), India (17 %), Estados Unidos (7 %), el Reino Unido (4 %) y Alemania (4 %).