TLP: White
Nivel de riesgo: [Medio]
Acción Requerida: Concientización, configurar las herramientas de seguridad e introducir los Indicadores de Compromiso proporcionados, evitar abrir archivos de origen desconocido o sospechoso.
Vector de ataque: Correo electrónico
Impacto: Esta campaña tiene como objetivo obtener información confidencial de las víctimas.

Descripción

Los altos niveles de preocupación entorno a la enfermedad coronavirus, o también conocida como COVID-19, ha ocasionado que aumenten las campañas maliciosas que tienen como objetivo engañar a las víctimas haciéndose pasar por instituciones legítimas como son la Organización Mundial de la Salud (OMS) y la Organización de las Naciones Unidas (ONU).

Dichas campañas se propagan por medio de correos electrónicos con archivos adjuntos malintencionados o enlaces a sitios Web fraudulentos relacionados con COVID-19. Los usuarios maliciosos tienen como objetivo engañar a las victimas para obtener información confidencial como usuarios y contraseñas de algunas plataformas, o bien, para que las víctimas realicen aportaciones a supuestas organizaciones benéficas controladas por los atacantes, e incluso para que las víctimas instalen programas maliciosos en sus dispositivos.

A principios del año se identificó que Emotet fue una de las primeras campañas que aprovechó la preocupación entorno a COVID-19, sin embargo, en estos últimos días se han identificado otras compañas dirigidas de manera principal a Ucrania e Italia, debido a que hay correos electrónicos que se hacen pasar por el Centro de Salud Pública de Ucrania o por la OMS, donde adjuntan un archivo de Word malicioso. Las otras campañas dirigidas a Italia solicitan a la víctima abrir un archivo adjunto, donde asegura que contiene medidas para evitar infectarse con COVID-19. La mayoría de las campañas maliciosas identificadas solicitan a los usuarios habilitar macros para abrir el archivo adjunto y posteriormente conectarse a una dirección IP controlada por el atacante.

También se identificó una campaña que se hace pasar por la compañía FedEx, donde informa a la víctima que ha tenido inconvenientes en sus operaciones, ocasionados por COVID-19, posteriormente solicita al usuario descargar un archivo para obtener mayor detalle al respecto. Aparentemente hace creer al usuario que se descarga un archivo en formato pdf, sin embargo, este se trata de un [.]exe que tiene como finalidad conectarse a una dirección IP controlada por el atacante y posteriormente infectar el dispositivo de la víctima.

Hasta el día de hoy se han identificado ataques que han afectado a países como Estados Unidos, Reino Unido, Ucrania e Italia.

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con campañas maliciosas de COVID-19.

  • SHA-256-256
    • 8eb57a3b520881b1f3fd0073491da6c50b7284dd8e66099c172d80ba33a5032f
    • 906eff4ac2f5244a59cc5e318469f2894f8ced406f1e0e48e964f90d1ff9fd88
    • 345d8b4c0479d97440926471c2a8bed43162a3d75be12422c1c410f5ec90acd9
  • Nombres de archivos identificados en estas campañas
    • f21678535239[.]doc
    • f21678535350[.]doc
    • Customer Advisory[.]PDF
  • Direcciones IP identificadas en estas campañas
    • 45.128.134[.]14
    • 23.19.227[.]235
    • 185.234.73[.]125
  • Dominios identificados en esta campaña
    • insiderppe[.]cloudapp[.]net
    • kbfvzoboss[.]bid

Nivel de riesgo

  • [Medio]

Medidas de contención

  • Concientizar a usuarios finales respecto a este tipo de campañas.
  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Utilizar fuentes confiables, como sitios Web legítimos del gobierno, para consultar información actualizada relacionada con COVID-19.
  • Verificar la autenticidad de las organizaciones benéficas antes de realizar alguna donación.
  • Configurar las herramientas de seguridad perimetral e introducir los indicadores de compromiso proporcionados.

Referencias