Fuera de lugar: la CISA advierte sobre sofisticados ataques de spyware

Cómo los atacantes eluden las aplicaciones de mensajería cifrada mediante ingeniería social y spyware comercial

Conclusiones

• Los atacantes utilizan cada vez más la ingeniería social y el spyware comercial para eludir las defensas de las aplicaciones de mensajería cifrada y espiar las comunicaciones sensibles.
• Nuevas amenazas, como los ataques de retransmisión NFC, permiten a los ciberdelincuentes secuestrar transacciones móviles y comprometer la seguridad del dispositivo a distancia.
• Las organizaciones deben implementar la mensajería de confianza cero, evitar la autenticación basada en SMS y utilizar medidas adicionales de seguridad de cuentas para protegerse frente a estos ataques avanzados.

Las herramientas de mensajería móvil cifrada permiten compartir datos de forma segura a organismos gubernamentales y empresas privadas. Sin embargo, en lugar de intentar romper estas defensas digitales, los atacantes han encontrado una forma de sortearlas: ingeniería social dirigida combinada con spyware comercial.

Según una alerta reciente de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), los ciberdelincuentes están utilizando códigos QR maliciosos, exploits de cero clics y suplantación de identidad en aplicaciones para acceder a plataformas de mensajería seguras y robar datos protegidos.

Espías en el premio

Como señala la alerta de la CISA, los atacantes no intentan hacerse con el control de aplicaciones seguras como Signal y WhatsApp. En cambio, quieren aprovecharse de ellas para espiar conversaciones críticas. Las investigaciones sugieren que entre los principales objetivos se encuentran funcionarios gubernamentales, militares y políticos actuales y anteriores, junto con personas de alto valor en los Estados Unidos, Europa y el Medio Oriente.

Tiene sentido: espiar mensajes militares o escuchar comunicaciones de la administración pública puede proporcionar datos valiosos para las agencias de reconocimiento de los Estados-nación o una ganancia sustancial para los actores maliciosos.

Para acceder a aplicaciones de mensajería segura, los atacantes utilizan tácticas como:

Phishing + Códigos QR

Los atacantes crean campañas de phishing dirigidas que convencen a los usuarios para hacer clic en enlaces maliciosos o escanear códigos QR. Estos códigos comprometen las cuentas de usuario y las vinculan a dispositivos propiedad de los atacantes. ¿El resultado? Los ciberdelincuentes pueden rastrear y monitorizar todas las conversaciones a través de aplicaciones de mensajería segura y utilizar el acceso al dispositivo para instalar malware, ransomware o amenazas persistentes avanzadas (APTs).

Explotaciones de clic cero

El phishing y métodos de ataque similares dependen de la acción del usuario: las víctimas deben hacer clic en un enlace, escanear un código o enviar un mensaje. Mientras tanto, las explotaciones de clic cero ocurren automáticamente una vez que se cumplen condiciones específicas. Consideremos el caso de spyware LANDFALL, que aprovecha una vulnerabilidad de día cero en la biblioteca de procesamiento de imágenes de Android de Samsung.

Así es como funciona: Los atacantes envían una imagen DNG (Digital Negative) malformada con un archivo ZIP incrustado a través de WhatsApp. Una vez recibida, la imagen se envía y procesa sin ninguna intervención de los usuarios, lo que lleva al despliegue de spyware de grado comercial en el dispositivo.

Suplantación de aplicaciones

Los atacantes también están utilizando las propias aplicaciones para infectar dispositivos con spyware. Un ejemplo es ClayRat, que utiliza tanto Telegram como sitios web aparentemente legítimos para ofrecer "actualizaciones" de aplicaciones o parches, que en realidad son cargas útiles de spyware. Usando el controlador de SMS predeterminado en el sistema operativo Android, ClayRat obtiene acceso a SMS, registros de llamadas y notificaciones, y también puede ejecutar comandos remotos para hacer fotos, llamadas, enviar mensajes SMS masivos y exfiltrar datos.

Una vez que los actores maliciosos obtienen acceso a aplicaciones seguras, utilizan spyware comercial para interceptar conversaciones. La disponibilidad generalizada de este spyware es un desafío. Aunque el Departamento del Tesoro de los Estados Unidos ha impuesto sanciones a algunos fabricantes de spyware, y empresas como WhatsApp han presentado demandas contra creadores de spyware, el mercado es simplemente demasiado grande para controlarlo.

Navegando por nuevas amenazas NFC

El aumento de las infecciones por spyware comercial también ha creado amenazas de "tap-and-steal" vinculadas a la comunicación de campo cercano (NFC).

Primero, los atacantes infectan los dispositivos objetivo y recopilan datos clave. Utilizando esta información, despliegan malware que se desliza bajo el radar defensivo y permite la instalación de malware que apunta a sistemas operativos móviles y permisos de aplicaciones.

Desde la perspectiva del usuario, las compras con NFC parecen normales: tocan, pagan y continúan con su día. En realidad, un malware instalado ha secuestrado la transacción al permitir que el chip NFC instalado actúe como un extremo de un relé. El otro extremo es un segundo dispositivo controlado por atacantes ubicado a kilómetros de distancia. Esto permite a los ciberdelincuentes eludir el beneficio defensivo principal del NFC: la distancia.

Normalmente, las transacciones NFC están limitadas a 10 cm o menos. Al convertir los dispositivos de los usuarios en un relé, los atacantes eliminan este control de seguridad sin activar acciones defensivas. Para los CIOs y CISOs encargados de gestionar flotas de dispositivos móviles, esto crea un doble problema: mensajes secuestrados junto con compras fraudulentas que son difíciles de rastrear y aún más difíciles de detener.

Gestión de mensajes mixtos

Para las redes corporativas, estos ataques de spyware representan una amenaza silenciosa pero persistente. Si los atacantes pueden acceder a aplicaciones de mensajería seguras o comprometer redes NFC, las empresas pueden ver cómo se roba información de propiedad intelectual o se transfiere dinero de manera fraudulenta.

Para ayudar a gestionar mensajes mixtos, la Guía de Mejores Prácticas de Comunicaciones Móviles de CISA recomienda acciones como:

Adoptar un enfoque de mensajería de confianza cero

Si bien la guía de CISA sugiere el uso de servicios de mensajería cifrada, también advierte contra la confianza implícita en estas aplicaciones. Para evitar posibles compromisos, los usuarios deben verificar la autenticidad de cualquier invitación a grupos, mantenerse alerta ante cualquier mensaje de alerta de seguridad inesperado y reportar toda actividad sospechosa a través de los canales de soporte de la aplicación.

Alejándose de los SMS

La guía también recomienda no usar SMS, especialmente para la autenticación multifactor. Dado que el SMS no está cifrado, los mensajes de MFA pueden ser leídos por atacantes, quienes a su vez podrían usar códigos de un solo uso para acceder a dispositivos e instalar spyware.

Establecer un pin de Telco

Como señaló CISA, muchos proveedores de telecomunicaciones permiten a los administradores configurar PINs o códigos de acceso adicionales para las cuentas de teléfonos móviles, que deben proporcionarse antes de que los usuarios puedan completar acciones sensibles, como instalar nuevo software o portar un número de teléfono.

¿La conclusión? Las aplicaciones de mensajería cifrada solo son efectivas si las empresas saben exactamente quién está escuchando. Con el aumento de spyware sofisticado y ataques NFC, las empresas deben priorizar operaciones de confianza cero que reduzcan la dependencia del SMS y requieran verificación adicional para autorizar acciones críticas.