ACTUALIZACIÓN: Atacantes aprovechan Coronavirus para distribuir malwares

16/03/2020

BOLETÍN NRO 2020-111

Esta es una actualización del Boletín 2020-095, sobre los atacantes que se siguen aprovechando de la temática del Coronavirus o covid-19 para distribuir malwares a través de distintas campañas.

Los atacantes han estado distribuyendo malwares a través de campañas de phishing que tienen como temática central el coronavirus o covid 19. A continuación se describirán las amenazas:

• AZORult: Utilizó documentos adjuntos de Microsoft Office diseñados para atraer a las víctimas y explotar la vulnerabilidad CVE-2017-11882, la cual permite ejecutar código de manera no autorizada en la computadora de la víctima. Cuando la víctima abre el documento, infecta su computadora con el infostealer AZORult.

Los atacantes también han estado distribuyendo este infostealer a través de sitios web de mapas falsos que muestran cómo es que el coronavirus se va expandiendo a través de todo el mundo.

• Emotet: Utilizó documentos adjuntos de Microsoft Word, los cuales tenían macros maliciosas que instalaban un script de PowerShell, la cual luego descargaba el troyano Emotet. Para más información ver Boletín 2020-062.

• Keylogger Tesla: Se distribuyo utilizando la siguiente temática: "Atención: Lista de empresas afectadas con coronavirus 02 de marzo de 2020". Este correo contenía un archivo adjunto malicioso que descarga el malware.

• Trickbot: En los correos enviados a la víctima se encontraba un archivo adjunto de Word con macros maliciosas incrustadas, las cuales eran utilizadas para instalar el troyano Trickbot. Este troyano es usado para robar información confidencial del usuario, así como para eliminar otros malwares.

• Se identificaron dos campañas una en Ucrania y otra en Corea del Sur. En el primero se estaba distribuyendo un backdoor a través de un documento malicioso, mientras que en la segunda se identificó que se estaba distribuyendo el Troyano de Acceso Remoto (RAT, por sus siglas en inglés) Nanocore.

• Grandoreiro: Fue distribuido a través de sitios web maliciosos, que utilizaban el tema del coronavirus para atraer a sus víctimas. Esta campaña está centrada en víctimas de Brasil, México y España.

• MUSTANG PANDA: Es un grupo de atacantes patrocinado por el gobierno Chino. En esta campaña los atacantes utilizaron archivos .exe, .lnk y .doc para infectar la computadora de la víctima y establecer contacto con su Servidor de Comando y Control (C2, abreviado en inglés).

• Formbook: Está siendo distribuido a través de spam la cual pretende brindar información del coronavirus. Para más información ver Boletín 2020-105.

• CoronaVirus ransomware: Este ransomware trabaja en conjunto con el infostealer Kpot. Estos dos malwares son distribuidos a través de una página web falsa que pretende ser la página web del software WiseCleaner. Esta campaña se centra en robar la información de la víctima para luego cifrarla y posterior a todo esto exigir una recompensa por la información.

• Actores maliciosos iranís se aprovecharon del brote del coronavirus para incentivar a sus víctimas a que instalen una app maliciosa la cual recopilaba información como: Ubicación y monitoreo de la actividad física. La aplicación es distribuida a través de una web creada por el gobierno Iraní.

• Kaspersky publicó un artículo sobre correos de phishing que pretendían hacerse pasar por correos del Centros para el Control y Prevención de Enfermedades (CVC, por sus siglas en inglés). Estos correos contenían los dominios cdc-gov[.]org y cdcgov[.]org. En algunos casos estos correos dirigían a las víctimas a páginas login falsas, esto con el fin de capturar las credenciales de la víctima. En otros casos, a páginas para donar Bitcoins a la CDC, esto con el supuesto fin de ayudar en la búsqueda de una vacuna.

Indicadores de Compromiso

Para acceder a la lista completa de IoC hacer clic aquí.

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

• Considerar deshabilitar PowerShell y macros de Microsoft Office, evitando que pueda ser aprovechado por softwares maliciosos.

• Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregar usuarios al grupo de administradores locales a menos que sea necesario.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IOCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.

** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.

• Verificar la información de la cuenta que envía el correo, el nombre y la dirección del destinatario para identificar si son sospechosas.

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• De detectar un correo spam, phishing o cualquier actividad anómala en su computadora reportarlo inmediatamente a los encargados de seguridad de la información de su institución.