This post is also available in: Português Español
El mundo entero está preocupado por el coronavirus, un virus que ha surgido en la provincia china de Wuhan y se está extendió a otras partes del planeta.
Conociendo la preocupación de la gente por el virus, los ciberdelincuentes aprovechan para crear campañas de correos electrónicos falsos (phishing) para infectar dispositivos.
La primera campaña fue identificada por X-Force Threat Intelligence, el equipo de ciberseguridad de IBM. Los correos electrónicos estaban dirigidos a los japoneses y se disfrazaban de comunicados oficiales de las autoridades sanitarias de los principales centros japoneses, como Osaka, Gifu y Tottori.
Según un artículo de IBM X – Force:
«Los correos electrónicos parecen haber sido enviados por un proveedor de asistencia social en Japón. El texto indica brevemente que se han registrado casos de pacientes con coronavirus en la prefectura de Gifu (Japón), e insta al lector a consultar el documento adjunto».
Los correos electrónicos están bien preparados y contienen una nota a pie de página con una dirección postal legítima, un número de teléfono y un número de fax de la autoridad sanitaria correspondiente en las ciudades objetivo. Por lo tanto, parece ser un correo electrónico auténtico y oficial.
«Anteriormente, los correos electrónicos japoneses de Emotet se centraban en notificaciones de pago y facturas de tipo corporativo, siguiendo una estrategia similar a los correos electrónicos dirigidos a las víctimas europeas», dijo la empresa. «Este nuevo enfoque de la administración de Emotet puede tener un éxito significativamente mayor debido al impacto generalizado del virus de la corona y el miedo a la infección que lo rodea.
Según el análisis de IBM X – Force, cuando el usuario abre el documento adjunto, aparece un mensaje de Office 365 en el que se pide al usuario que habilite el contenido si el documento se ha abierto en modo de visualización protegido.
Si el archivo adjunto se abre con las macros activadas, un macro script VBA oculto abre Powershell e instala un downloader de Emotet en segundo plano.
Según los analistas de IBM X – Force:
“Las macros extraídas utilizan la misma técnica de ocultación que otros correos electrónicos de Emotet observados en las últimas semanas.“.
Emotet no es el único que busca infectar dispositivos. Kaspersky . Kaspersky identificó numerosas campañas de spam en las últimas semanas que contienen una variedad de archivos adjuntos que utilizan el coronavirus como tema.
Los investigadores dicen que los archivos maliciosos descubiertos se han enmascarado como archivos .PDF, .MP4, .DOC sobre coronavirus.
“Los nombres de los archivos indican que contienen instrucciones en vídeo sobre cómo protegerse contra el virus, actualizaciones de amenazas e incluso procedimientos de detección de virus, lo que no es realmente el caso”.
Esos archivos contienen numerosas amenazas, como caballos de Troya y Gusanos, que son capaces de destruir, bloquear, modificar o copiar datos e interferir en el funcionamiento de ordenadores o redes.
Hasta la fecha, se han visto 10 documentos diferentes en circulación.
Según Anton Ivanov, analista de malware de Kaspersky:
“A medida que la gente sigue preocupándose por su salud, veremos más y más malware escondido en documentos falsos sobre la propagación del coronavirus.”.
Los analistas de IBM X – Force advirtieron que los operadores de Emotet probablemente ampliarán sus acciones maliciosas, basadas en el coronavirus, más allá de Japón.
Los investigadores dicen que es muy común, por desgracia, que los actores de estas amenazas exploten emociones humanas básicas, como el miedo. Especialmente en casos como el de esta pandemia.
Sigue a OSTEC en las redes sociales para estar al tanto de todo nuestro contenido: Instagram, Facebook, Linkedin, Twitter.
This post is also available in: Português Español