Get best of the week

Cómo los ciberdelincuentes usan la pandemia de coronavirus para sus propios fines

Los eventos de alto perfil siempre han sido una excelente ocasión para campañas fraudulentas, y en este sentido, la pandemia de coronavirus no se convirtió en nada especial. Sin embargo, a pesar de las similitudes, todavía hay diferencias: el miedo general a la infección ha hecho del nombre de la enfermedad un factor poderoso para aumentar la efectividad de los ataques. Hemos recopilado estadísticas sobre incidentes relacionados con COVID-19, y en esta publicación compartiremos los episodios más interesantes.

imagen

Según nuestro monitoreo, en el primer trimestre de 2020, los correos no deseados fueron la principal fuente de ataques cibernéticos relacionados con el coronavirus. La cantidad de correos electrónicos de febrero a marzo aumentó 220 veces: la

imagen
cantidad de correos electrónicos no deseados relacionados con COVID-19

. Los sitios web maliciosos se han convertido en otra área de las campañas de COVID. Durante el primer trimestre, registramos alrededor de 50 mil URL maliciosas que contienen el nombre de una infección peligrosa. De febrero a marzo, la cantidad de dichos sitios aumentó en un 260%: la

imagen
cantidad de URL maliciosas asociadas con los desarrolladores de COVID-19

Malware no mostró menos actividad. Para el primer trimestre, identificamos más de 700 variedades de malvari orientado a COVID:

imagen
Número de malware relacionado con COVID-19

El mayor número de ataques cayó en los Estados Unidos, pero otros países infectados también fueron atacados.

Consideremos cada una de estas categorías con más detalle. Comencemos con el malware, porque aquí nos enfrentamos a un fenómeno bastante curioso: algunos de los operadores de ransomware mostraron una ciudadanía activa y anunciaron que las instituciones médicas no atacarían la pandemia.

Malware


La oportunidad de beneficiarse de un tema candente devolvió la vida a muchos veteranos. Por ejemplo, apareció una versión de marca COVID del troyano bancario Zeus Sphinx, para cuya distribución se utilizó la distribución de un documento de Microsoft Word protegido con contraseña con el nombre "alivio COVID 19".

imagen
Si el usuario abrió el archivo adjunto, ingresó la contraseña e incluyó macros, Zeus Sphinx se instaló en su computadora. Fuente (en adelante, a menos que se indique lo contrario): Trend Micro

Los operadores de malware AZORult actuaron más originalmente: crearon una copia de trabajo del sitio web de la Universidad Johns Hopkins con un mapa de distribución de coronavirus en el dominio Corona-Virus-Map.com (ahora deshabilitado). Para recibir más información operativa, se pidió a los visitantes que descargaran la aplicación a la computadora.

imagen
De acuerdo con la oferta de un sitio falso de propagación de virus sobre la instalación de software adicional, recibido en su dispositivo, los

operadores de AZORult Ransomware se dividieron en dos grupos: algunos anunciaron que no atacarían hospitales, hospitales e instalaciones médicas durante la pandemia, mientras que el resto continuó su actividad maliciosa sin restricciones.
CLOP Ransomware, DoppelPaymer Ransomware, Maze Ransomware y Nefilim Ransomware se inscribieron en el club Noble Pirates, mientras que Netwalker dijo que no eligen específicamente hospitales, pero si alguno de ellos encuentra sus archivos encriptados, pague un rescate.
Los operadores de Ryuk y otros ransomware no hicieron ninguna declaración, sino que simplemente continuaron el ataque.

imagen
Los usuarios confirman que el trabajo continuo de

Ryuk a pesar de la pandemia del ransomware CovidLock Mobile se distribuye a través de su propio sitio web como un archivo apk para evitar el bloqueo en las tiendas de aplicaciones oficiales.

imagen
Para crear la ilusión de confiabilidad y calidad, los autores de CovidLock utilizaron imágenes de calificación del Play Market, así como logotipos de la OMS y el Centro para el Control y la Prevención de Enfermedades.

Los autores de malware dicen que la aplicación permite el seguimiento en tiempo real de brotes de coronavirus "en su calle, en la ciudad y en el estado »En más de 100 países.

Y los autores del infosyler de malware Oski utilizaron la forma original de distribuir su aplicación:
• escanearon Internet en busca de enrutadores domésticos vulnerables D-Link y Linksys,
• usando vulnerabilidades, obtuvieron acceso a la administración y cambiaron la configuración de los servidores DNS a la suya:

imagen
cuando los usuarios conectados a los enrutadores ingresaron cualquier dirección en el navegador, fueron redirigidos al sitio de estafa, que en nombre de la OMS sugirió descargar e instalar la aplicación COVID-19 Inform. Los usuarios que instalaron el "informador" recibieron el infostiller Oski

Listas de correo


Los autores de muchos correos asustan e incluso chantajean a los destinatarios de sus cartas para obligarlos a abrir el archivo adjunto y seguir otras instrucciones.
Los ciudadanos canadienses recibieron un boletín informativo en nombre de Mary, una empleada del centro médico. En la carta, María dijo que, según la información recibida, el destinatario de la carta estaba en contacto con un paciente con coronavirus, por lo que necesitaba completar el formulario adjunto lo antes posible y comunicarse con el hospital más cercano para la prueba:

imagen
cuando la víctima asustada abrió el archivo adjunto, se le pidió que permitiera la ejecución de macros, después de Lo que se instaló en el infostiller de la computadora, que recopiló y envió a los atacantes las credenciales almacenadas, información sobre tarjetas bancarias y billeteras criptográficas

Italia, como uno de los principales países en cuanto a la cantidad de coronavirus infectados, fue atacada por los atacantes. Hemos registrado más de 6,000 correos relacionados con el tema de la pandemia.
Por ejemplo, en una de estas campañas, se enviaron cartas en italiano, en las cuales el remitente, en nombre de la Organización Mundial de la Salud, sugirió que el destinatario se familiarice de inmediato con las precauciones de coronavirus en el documento adjunto:

imagen
al abrir el documento, se solicitó permiso para ejecutar macros, y si la víctima lo dio, se instaló un troyano en la computadora

Muchos correos han sido asociados con la entrega o el aplazamiento debido a la propagación de la enfermedad. Por ejemplo, en una de estas cartas, supuestamente enviada desde Japón, se informó un retraso en la entrega y se sugirió familiarizarse con el cronograma adjunto en el archivo adjunto:

imagen
al abrir el archivo adjunto desde el archivo, se instaló un programa malicioso en la computadora

Sitios de fraude


Los cibercriminales no solo dominan masivamente los dominios asociados con la pandemia, sino que también los usan activamente para actividades fraudulentas.
Por ejemplo, el sitio completamente anecdótico antivirus-covid19.site sugirió descargar e instalar la aplicación Corona Antivirus en su computadora para protección contra infecciones.
Los autores no revelaron el mecanismo de acción "antivirus", y aquellos que, por alguna razón, descargaron e instalaron el programa, recibieron una sorpresa desagradable en la forma de la puerta trasera BlactNET RAT instalada.

imagen
Los propietarios de otros sitios ofrecieron a sus visitantes ordenar una vacuna gratuita contra el coronavirus, pagando solo 4 , 95 dólares para la entrega

El sitio coronaviruscovid19-information [.] Com / es invitó a los visitantes a descargar una aplicación móvil para crear un medicamento para el coronavirus. La aplicación era un troyano bancario que roba información sobre tarjetas bancarias y credenciales de sistemas bancarios en línea.
Y el sitio uk-covid-19-relieve [.] Imitó el diseño de sitios gubernamentales en el Reino Unido y, con el pretexto de pagar ayuda a las víctimas de la pandemia de coronavirus, recopiló datos personales e información sobre tarjetas bancarias.

Amenazas asociadas


Los autores de muchas campañas no escriben una palabra sobre el coronavirus, pero utilizan con éxito la situación que se ha desarrollado en relación con la pandemia. Esta categoría incluye, por ejemplo, el envío

imagen
de mensajes SMS con una solicitud de pago de una multa por violar el régimen de autoaislamiento: los autores del mensaje esperan que uno de los destinatarios realmente haya violado el régimen y cumpla fácilmente con los requisitos. Una

cuarentena introducida universalmente ha llevado a mucha gente a trabajar de forma remota, como resultado de lo cual hubo un crecimiento explosivo en la popularidad de las aplicaciones de videoconferencia, que no fue ralentizado por los estafadores cibernéticos. Por ejemplo, desde el comienzo de la pandemia de COVID-19, se han registrado más de 1,700 dominios de Zoom maliciosos.

imagen
Algunos de estos sitios ofrecieron instalar un cliente para un servicio popular, pero en lugar de eso, las víctimas recibieron el malware InstallCore, con el cual los atacantes descargaron conjuntos adicionales de utilidades maliciosas en sus computadoras.

Muchos servicios ofrecieron suscripciones premium a todos por un período pandémico, y esta generosidad no los detuvo. Aprovecha los estafadores.
La campaña comenzó enviando un mensaje a Facebook Messenger, ofreciendo en conexión con la cuarentena dentro de 2 meses para obtener acceso gratuito a Netflix Premium. Si el usuario inició sesión en la cuenta de Facebook y siguió el enlace, recibió una solicitud de acceso desde la aplicación Netflix. De lo contrario, se le pidió al usuario credenciales para ingresar a la red social, y después de un inicio de sesión exitoso, fue redirigido a la página con la solicitud de permiso. Cuando el usuario acordó continuar, se abrió una página fraudulenta con una "oferta de Netflix" y una encuesta que debe completarse para recibir un regalo:

imagen

La encuesta contiene preguntas aleatorias y acepta cualquier respuesta que ingrese el usuario. Al final de la encuesta, se ofrece al usuario compartir el sitio con veinte amigos o cinco grupos para recibir una "suscripción premium".

No importa en qué botón haga clic el usuario al final de la encuesta, será redirigido a una página que solicita acceso a Facebook. En este paso, nuevamente se propone compartir un enlace malicioso con sus contactos.
Para facilitar este proceso, los estafadores incluso crean una publicación, por lo que la víctima que comprometió sus credenciales solo puede presionar un botón para publicar.

Esté atento para defenderse


Los delincuentes utilizan activamente el tema de la pandemia en campañas fraudulentas. Para contrarrestarlas, se deben observar las siguientes recomendaciones:

  1. No siga los enlaces de remitentes desconocidos y no los comparta con sus amigos,
  2. verificar la legitimidad de la fuente de información,
  3. verifique la URL del sitio que le solicita información,
  4. No ingrese información personal y de cuenta, así como información de pago en sitios no verificados.

Tendencia pandémica micro posición


Entendemos que la situación se está desarrollando rápidamente y que cada día llegan nuevos datos, por lo tanto, actualizamos constantemente nuestra información para proporcionar invariablemente los servicios de la clase más alta que los clientes, socios y proveedores esperan de nosotros.

Para que la crisis debida al virus COVID-19 no afecte la usabilidad de los productos Trend Micro, nos ocupamos de la seguridad de nuestros empleados:

  • siga las instrucciones de las autoridades locales en todos los países;
  • trabajo remoto;
  • movimiento limitado;
  • Estamos atentos y utilizamos equipos de protección.

Somos optimistas sobre el futuro y creemos que la difícil situación actual ayudará a introducir nuevas formas de trabajar juntos y otras innovaciones, que finalmente harán nuestras vidas más seguras.

More articles:


All Articles