Descripción
Los altos niveles de preocupación entorno a la enfermedad coronavirus, o también conocida como COVID-19, ha ocasionado que aumenten las campañas maliciosas que tienen como objetivo engañar a las víctimas haciéndose pasar por instituciones legítimas como son la Organización Mundial de la Salud (OMS) y la Organización de las Naciones Unidas (ONU).
Dichas campañas se propagan por medio de correos electrónicos con archivos adjuntos malintencionados o enlaces a sitios Web fraudulentos relacionados con COVID-19. Los usuarios maliciosos tienen como objetivo engañar a las victimas para obtener información confidencial como usuarios y contraseñas de algunas plataformas, o bien, para que las víctimas realicen aportaciones a supuestas organizaciones benéficas controladas por los atacantes, e incluso para que las víctimas instalen programas maliciosos en sus dispositivos.
A principios del año se identificó que Emotet fue una de las primeras campañas que aprovechó la preocupación entorno a COVID-19, sin embargo, en estos últimos días se han identificado otras compañas dirigidas de manera principal a Ucrania e Italia, debido a que hay correos electrónicos que se hacen pasar por el Centro de Salud Pública de Ucrania o por la OMS, donde adjuntan un archivo de Word malicioso. Las otras campañas dirigidas a Italia solicitan a la víctima abrir un archivo adjunto, donde asegura que contiene medidas para evitar infectarse con COVID-19. La mayoría de las campañas maliciosas identificadas solicitan a los usuarios habilitar macros para abrir el archivo adjunto y posteriormente conectarse a una dirección IP controlada por el atacante.
También se identificó una campaña que se hace pasar por la compañía FedEx, donde informa a la víctima que ha tenido inconvenientes en sus operaciones, ocasionados por COVID-19, posteriormente solicita al usuario descargar un archivo para obtener mayor detalle al respecto. Aparentemente hace creer al usuario que se descarga un archivo en formato pdf, sin embargo, este se trata de un [.]exe que tiene como finalidad conectarse a una dirección IP controlada por el atacante y posteriormente infectar el dispositivo de la víctima.
Hasta el día de hoy se han identificado ataques que han afectado a países como Estados Unidos, Reino Unido, Ucrania e Italia.
Indicadores de compromiso IoCs
A continuación se listan los IoCs identificados hasta el momento, relacionados con campañas maliciosas de COVID-19.
- SHA-256-256
- 8eb57a3b520881b1f3fd0073491da6
c50b7284dd8e66099c172d80ba33a5 032f - 906eff4ac2f5244a59cc5e318469f2
894f8ced406f1e0e48e964f90d1ff9 fd88 - 345d8b4c0479d97440926471c2a8be
d43162a3d75be12422c1c410f5ec90 acd9
- 8eb57a3b520881b1f3fd0073491da6
- Nombres de archivos identificados en estas campañas
- f21678535239[.]doc
- f21678535350[.]doc
- Customer Advisory[.]PDF
- Direcciones IP identificadas en estas campañas
- 45.128.134[.]14
- 23.19.227[.]235
- 185.234.73[.]125
- Dominios identificados en esta campaña
- insiderppe[.]cloudapp[.]net
- kbfvzoboss[.]bid
Nivel de riesgo
- [Medio]
Medidas de contención
- Concientizar a usuarios finales respecto a este tipo de campañas.
- Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
- Utilizar fuentes confiables, como sitios Web legítimos del gobierno, para consultar información actualizada relacionada con COVID-19.
- Verificar la autenticidad de las organizaciones benéficas antes de realizar alguna donación.
- Configurar las herramientas de seguridad perimetral e introducir los indicadores de compromiso proporcionados.
Referencias
- https://www.us-cert.gov/ncas/
current-activity/2020/03/06/ defending-against-covid-19- cyber-scams - https://www.cisa.gov/sites/
default/files/publications/20_ 0306_cisa_insights_risk_ management_for_novel_ coronavirus.pdf - https://news.un.org/en/story/
2020/02/1058381 - https://www.bleepingcomputer.
com/news/security/us-govt- shares-tips-to-defend-against- coronavirus-cyber-scams/ - https://www.imperva.com/blog/
concern-over-coronavirus- leading-to-global-spread-of- fake-pharmacy-spam/ - https://www.fortinet.com/blog/
threat-research/attackers- taking-advantage-of-the- coronavirus-covid-19-media- frenzy.html - https://www.who.int/about/
communications/cyber-security - https://www.cert-pa.it/wp-
content/uploads/2020/03/ evento_coronavirus_marzo_2020. txt - https://otx.alienvault.com/
pulse/5e61018cde8b2c90c04e55d4 - https://blog.
talosintelligence.com/2020/02/ coronavirus-themed-malware. html