Get best of the week

Ciberataques con COVID-19



La pandemia de coronavirus COVID-19 se utiliza como señuelo en campañas maliciosas que utilizan técnicas de ingeniería social, incluidos spam, malware, encriptadores y dominios maliciosos. A medida que el número de infecciones aumenta en miles, las campañas maliciosas correspondientes también están ganando impulso. Los especialistas encuentran constantemente nuevos ejemplos de tales campañas maliciosas asociadas con el coronavirus.

Minuto de atención ovni


COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .



, .

, , .

: |

Spam de coronavirus Los

expertos de PandaLabs descubrieron que el envío y la recepción de correos electrónicos no deseados relacionados con el coronavirus en casi todo el mundo, incluidos países como Estados Unidos, Japón, Rusia y China. Muchas de estas cartas, que parecen haber sido enviadas por organizaciones oficiales, afirman que contienen información actualizada y recomendaciones sobre la pandemia. Como la mayoría de las campañas de spam, también contienen archivos adjuntos maliciosos.

Un ejemplo es el correo no deseado con el asunto de las últimas actualizaciones de Corona Virus, presuntamente enviado por el Ministerio de Salud. Contiene recomendaciones sobre cómo prevenir la infección, y la carta contiene un archivo adjunto que supuestamente contiene información actualizada sobre el coronavirus COVID-19. De hecho, contiene malware.



Otros mensajes de spam sobre el coronavirus están relacionados con los suministros de alimentos que fueron interrumpidos por la propagación de la infección.



El siguiente ejemplo de spam italiano contiene información importante sobre el coronavirus:



esta carta portuguesa promete nueva información sobre la
supuesta vacuna contra COVID-19.



Ha habido casos en los que se mencionaron medicamentos contra el coronavirus en el tema de los correos electrónicos no deseados para intentar que las personas descarguen archivos adjuntos maliciosos. A veces, un archivo adjunto malicioso es HawkEye Reborn , una variante del troyano HawkEye que roba información.



Indicadores de compromiso para los archivos adjuntos maliciosos


SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be



En este caso, los indicadores se ven comprometidos:



SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

Otra campaña de spam se dirigió a usuarios en Italia, un país que fue golpeado por la pandemia. El asunto y el cuerpo de las letras contienen el texto "Coronavirus: información importante sobre precauciones". El cuerpo de la carta indica que el archivo adjunto en la carta es un documento de la Organización Mundial de la Salud (OMS) y, por lo tanto, se recomienda encarecidamente que descargue este documento adjunto de Microsoft Word, que contiene un troyano.



Cuando el usuario abre este documento, se muestra el siguiente mensaje, forzándolo a habilitar las macros:



Indicadores de compromiso (IOC)



SHA-256
dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2

Codificadores de malware y coronavirus asociado

el servicio 100% PandaLabs laboratorio antivirus de clasificación fue capaz de identificar y bloquear estos archivos ejecutables maliciosos asociados con estas campañas:



CORONA VIRUS Y EQUIPO afectado el VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56fb82d7e333454e923

LISTA DE VIRUS DE CORONA
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd

Otros investigadores han visto cómo los criminales cibernéticos utilizan la tarjeta de control de la enfermedad en línea coronavirus, reemplazándolos feykovye sitios web de los que descarga e instala malware. A continuación se presentan los valores hash de aplicaciones maliciosas:



2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

Una nueva versión del ransomware CoronaVirus utilizó para su distribución un sitio falso para optimizar el sistema. Las víctimas, sin saberlo, descargaron el archivo WSGSetup.exe de este sitio. Luego, este archivo funcionó como un descargador para dos tipos de malware: el ransomware CoronaVirus y el ladrón de contraseñas Trojan Kpot .

Esta campaña es parte de la última tendencia entre los criptógrafos: combina el cifrado de datos con el robo de información.

Además, se notó otro ransomware llamado CovidLock, ahora afecta a los usuarios móviles. Este ransomware proviene de una aplicación maliciosa de Android que supuestamente ayuda a rastrear las infecciones por COVID-19.

El ransomware bloquea el teléfono celular de su víctima, dándole solo 48 horas para pagar un rescate de $ 100 en bitcoins para restablecer el acceso a su dispositivo. De lo contrario, la víctima se ve amenazada de eliminar todos los datos del teléfono y robar los datos de sus cuentas en las redes sociales.

Dominios relacionados con coronavirus



Además, el número de nombres de dominio que usan la palabra "corona" en su nombre ha aumentado notablemente . A continuación, enumeramos los siguientes dominios maliciosos:

  • acccorona [.] com
  • alphacoronavirusvaccine [.] com
  • anticoronaproducts [.] com
  • beatingcorona [.] com
  • beatingcoronavirus [.] com
  • bestcorona [.] com
  • betacoronavirusvaccine [.] com
  • buycoronavirusfacemasks [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • combatcorona [.] com
  • contra-coronavirus [.] com
  • corona-blindado [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • corona explicada [.] com
  • corona-iran [.] com
  • corona-ratgeber [.] com
  • coronadatabase [.] com
  • coronadeathpool [.] com
  • coronadetect [.] com
  • coronadetection [.] com


Cómo funcionan estos ataques

El hecho es que todos estos ataques usan vectores de penetración, que pueden considerarse "tradicionales". Todos estos vectores pueden cerrarse mediante soluciones antivirus tradicionales para proteger los dispositivos finales. En este caso, PandaLabs utiliza los siguientes mecanismos para detectar y bloquear amenazas:

• Un servicio de clasificación 100% que clasifica cada archivo binario y solo permite a aquellos que son controlados por un sistema en la nube con inteligencia artificial
• Tecnologías EDR y, especialmente, el sistema de detección de indicadores Ataques (IoA) por comportamiento y contexto .

Por lo que vemos, el ejemplo más común de ataques son los correos electrónicos no deseados que utilizan tecnologías de ingeniería social. Dichas letras contienen un cuentagotas que carga el archivo binario aquí:

C: \ Users \ user \ AppData \ Local \ Temp \ qeSw.exe
Hash: 258ED03A6E4D9012F8102C635A5E3DCD Las

soluciones Panda detectan el cuentagotas como Trj / GdSda.A
Este archivo binario encripta la computadora (proceso: vssadmin. exe) y elimina las instantáneas utilizando el proceso conhost.exe.

Fuentes oficiales de IoC El

Centro Criptográfico Nacional de España tiene una lista exhaustiva de indicadores de compromiso (IoC) a nivel de hashes, direcciones IP y dominios: www.ccn.cni.es/index.php/en .

La información está disponible aquí:
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

Cómo protegerse de estas y otras amenazas cibernéticas

Gracias al servicio de clasificación 100%, que clasifica todos los archivos binarios antes de que se inicien y bloquea el lanzamiento de cualquier binario malicioso archivos, las soluciones de protección de punto final con opciones de protección avanzadas son muy efectivas para detener campañas maliciosas como muchas otras.

El servicio utiliza un mecanismo altamente efectivo para detectar y eliminar malware y ransomware antes de su lanzamiento, independientemente de si son nuevas opciones de amenaza o nuevos dominios maliciosos, como es el caso de los objetos maliciosos asociados con COVID-19.

Indicadores de ataque conductual y contextual (IoA)Detecta y bloquea patrones de comportamiento inusuales en dispositivos protegidos: por ejemplo, descargando un archivo ejecutable de Word o intentando acceder a URL desconocidas o maliciosas. Cualquier intento de comprometer el dispositivo se bloquea inmediatamente y se detiene la ejecución de acciones maliciosas y la conexión a dominios maliciosos.

More articles:


All Articles