Ciberdelincuentes se aprovechan del COVID-19

Mientras que el mundo se enfrenta al coronavirus o COVID-19 , los cibercriminales se aprovechan para atacar con estafas, sitios maliciosos o campañas de malware.

Según informe publicado por Check Point Research y compartido con The Hacker News, los hackers están explotando el brote de COVID-19 para propagar sus propias infecciones, incluido el registro de dominios maliciosos relacionados con Coronavirus y la venta de malware con descuento en la web oscura – Dark web-

“Las ofertas especiales de diferentes piratas informáticos que promocionan sus ‘productos’ – generalmente malware malicioso o herramientas de explotación – se están vendiendo a través de la red oscura bajo ofertas especiales con códigos de descuento: ‘COVID19’ o ‘coronavirus’ , dirigidos a aspirantes a ciberatacantes o ciberdelincuentes”.

Check Point Research

Descuentos COVID-19: herramientas de explotación para la venta

El informe se produce después de un aumento en la cantidad de dominios maliciosos relacionados con el coronavirus que se han registrado desde principios de enero.

dominios de malware coronavirus

“Solo en las últimas tres semanas (desde finales de febrero de 2020), hemos notado un gran aumento en el número de dominios registrados: el número promedio de dominios nuevos es casi 10 veces más que el número promedio encontrado en semanas anteriores”. los investigadores dijeron: “Se descubrió que el 0.8 % de estos dominios eran maliciosos (93 sitios web), y otro 19 % era sospechoso (más de 2,200 sitios web)”.

Un ejemplo de uno de estos sitios:

Algunas de las herramientas disponibles para la compra, a un precio con descuento incluyen: “Evitar WinDefender” y “Compilar para evitar la seguridad de correo electrónico y Chrome”.

ataque de malware

Otro grupo de piratería, que lleva el nombre de “SSHacker”, ofrece el servicio de piratería en la cuenta de Facebook con un descuento del 15 % con el código de promoción “COVID-19”.

Un vendedor que se conoce con el nombre de “True Mac” está vendiendo un modelo MacBook Air 2019 por solo $ 390 como una “oferta especial de corona”. No hace falta decir que la oferta es una estafa.

Una larga lista de ataques con coronavirus

El informe se suma a una larga lista de ataques cibernéticos contra hospitales en USA y centros de pruebas en república checa.

Campañas de phishing que distribuyen malware:

AZORuIt : Campaña específica de correo electrónico con el tema de Coronavirus que presenta documentos maliciosos de Microsoft Word y explota una vulnerabilidad de dos años y medio instalando el malware AZORult que roba información.

El ladrón de información AZORult también se ha distribuido utilizando una versión fraudulenta del Mapa de coronavirus Johns Hopkins en forma de un ejecutable malicioso.

Piratería de coronavirus

Emotet : es un troyano avanzado, autopropagante y modular. Emotet era originalmente un troyano bancario, pero recientemente se ha utilizado como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. También puede propagarse a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Actualmente se están viendo ataques de correo electrónico dirigidos a al menos una docena de países de todo el mundo con señuelos con temas de Coronavirus, incluidos: Australia, Austria, Barbados, Alemania, Hong Kong, Japón, Malasia, Singapur, España, Suiza, Emiratos Árabes Unidos y Estados Unidos.

A continuación se muestra un ejemplo de uno de los documentos de Word maliciosos. Como es habitual con este tipo de archivos adjuntos, se solicita a los usuarios que Habiliten la Edición y Habiliten el Contenido, otorgando al atacante la capacidad de ejecutar código en el punto final para facilitar la entrega y ejecución de Emotet, infectando así el sistema.

Nanocore RAT : es un troyano de acceso remoto (RAT) que se distribuye comúnmente por varios actores de amenazas. Estas familias de malware suelen proporcionar al atacante acceso remoto al sistema y la capacidad de capturar cosas como pulsaciones de teclas, archivos, cámaras web y descargar y ejecutar archivos. 

Al ejecutar la carga útil que se encuentra en el adjunto, el RAT se conecta a sus direcciones IP de C&C codificadas y envía la información recopilada sobre la víctima al servidor, incluida una lista de procesos en ejecución y sus ID, el nombre de host de la máquina y su nombre de usuario.

TrickBot : Campaña de spam que utiliza los miedos de una infección biológica y está jugando con los temores sobre el brote de coronavirus. En esta campaña los delincuentes no solo han enviado un mensaje general tratando de capitalizar los temores globales, sino que han dado a su correo electrónico fraudulento un sabor regionalizado y, por lo tanto, una razón específica para actuar:

Coronavirus: informazioni importanti su precauzioni

A causa del fatto che nello Sua zona sono documentati casi di infezione […] [l] e consigliamo vivamente di leggere il document allegato a questo messaggio!

Coronavirus: información importante sobre precauciones

Debido a que hay infecciones documentadas en su área […], le recomendamos encarecidamente que lea el documento adjunto a este mensaje.

https://nakedsecurity.sophos.com/2020/03/05/coronavirus-warning-spreads-computer-virus/

Esta vez, no hay un enlace a un sitio web fraudulento, sino un archivo adjunto que se recomienda leer.

El correo electrónico lleva un documento que pretende ser una lista de precauciones para prevenir infecciones. Pero el archivo adjunto es, de hecho, un documento de Word armado, que lleva un script de Visual Basic para Aplicaciones (VBA) que lleva un cuentagotas utilizado para entregar una nueva variante de Trickbot.

Resultado de imagen para TrickBot


COVID19 Tracker : Aplicación de Android falsa de seguimiento de coronavirus en tiempo real, abusa de los permisos de los usuarios para cambiar la contraseña de la pantalla de bloqueo del teléfono e instalar el ransomware CovidLock a cambio de un rescate de $ 100 bitcoin.

Otro ataque de phishing, descubierto por Seguridad anormal , apuntó a estudiantes y personal universitario con correos electrónicos falsos en un intento por robar sus credenciales de Office 365 al redirigir a las víctimas desprevenidas a una página de inicio de sesión falsa de Office 365.

Desde ESET España esta semana alertaron sobre un correo de phishing, en un correcto español, que hace alusión a la preparación de una vacuna casera para evitar la enfermedad.

El falso correo incluye un adjunto que contiene la supuesta lista de elementos necesarios para preparar la falsa vacuna, que esconde un troyano detectado por las soluciones de ESET como Win32/Injector.ELCE.

Campaña en Colombia suplanta identidad del Ministerio de Salud

Una de las alertas más recientes fue comunicada por el Ministerio de Salud de Colombia, quien a través de su cuenta de Twitter advirtió la existencia de una campaña que circula por correo electrónico y por WhatsApp, suplantando la identidad del Ministerio de Salud, en la que envían un adjunto (archivo PDF) para distribuir un código malicioso que se instala en el dispositivo de la víctima. El objetivo de esta campaña es robar información personal, asegura el organismo de salud colombiano.

Desde el 5 de marzo a la fecha se han registrado mas de 240 ataques de phishing en Colombia por los cibercriminales.

Como mantenerse seguro en el tiempo de COVID-19

Es claro que estos ataques explotan los temores frente al coronavirus y la necesidad de la gente por información sobre la pandemia. Dado el impacto en la seguridad de las empresas y las personas que están en sus casas conectadas y laborando de forma remota (teletrabajo), los dispositivos y equipos personales suelen ser más vulnerables a los ciberataques, ya que los niveles de seguridad en los hogares es mas debil que en los entornos corporativos.

Es esencial establecer buenas practicas de seguridad digital y seguir preparándonos para mejorar la seguridad de la información de nuestras empresas y la seguridad personal, que en estos momentos de emergencia se evidencia la real cultura de seguridad con que se cuenta, veamos algunas recomendaciones:

  1. Las empresas deben contar con una política de seguridad de información y seguridad informática que socialice con sus colaboradores, lo ideal es hacerlo antes que sucedan los incidentes o emergencias como la generada por el COVID-19. Si no se cuenta, se deberá tener una guía de seguridad informática donde se eduque y capacite al usuario.
  2. Las empresas deben asegurarse de que las tecnologías de acceso remoto estén instaladas y configuradas correctamente y de forma segura para que los empleados puedan realizar conexiones de la misma manera desde su hogar.
  3. Las personas deben evitar el uso de dispositivos personales no autorizados para el trabajo y asegurarse de que ” los dispositivos personales tengan el mismo nivel de seguridad que un dispositivo propiedad de la empresa, ademas también es deber tener en cuenta las implicaciones de privacidad de los dispositivos propiedad de los empleados que se conectan a una red de negocios “.
  4. Los usuarios que se conecten para trabajar desde sus casas, es necesario verificar la seguridad de los mismos, que cuenten con Antivirus originales (No Free), parches de actualizaciones al sistema operativo y aplicaciones como Office, herramientas de cifrado de información, sistemas de autenticación multifactor para servicios en la nube o correo corporativo, control de dispositivos externos USB, conexiones seguras por VPN a servidores o equipos locales en las empresas. Se debe evitar el acceso no autorizado a información o recursos por parte de otras personas que utilicen el lugar (familiares o amigos).
  5. En la conexiones que se realizan por wifi es importante que se establezca una contraseña segura y robusta, que la conexión del canal este cifrada al igual que la información que se envía. No se deben usar Wifi publicas.
  6. Tenga cuidado con los correos electrónicos y archivos recibidos de remitentes desconocidos . Lo que es más importante, verifique la autenticidad de la dirección de correo electrónico del remitente, no abra archivos adjuntos desconocidos ni haga clic en enlaces sospechosos, y evite los correos electrónicos que le soliciten compartir datos confidenciales, como contraseñas de cuenta o información bancaria.
  7. Utilice fuentes confiables, como sitios web legítimos del gobierno , para obtener información actualizada y basada en hechos sobre COVID-19.
  8. La empresa debe usar software o herramientas para monitorear el estado de seguridad de sus colaboradores conectados frente a infecciones de malware o ataques informáticos, ademas de velar por evitar la fuga de información confidencial o sensible que pueda tener acceso el usuario y que esta saliendo de la empresa. Igualmente es importante monitorear los sitios que visita el usuario para prevenir incidentes o infecciones por malware.

La ciberseguridad es una responsabilidad de todos, por lo cual se deben hacer procesos de concientización y capacitación sobre estos temas a los colaboradores, ademas de hacer seguimiento y verificación con pruebas de seguridad social que ofrezcan un nivel de seguridad mínimo para afrontar los retos actuales y futuros.