El coronavirus ya afectó a más de más de 134.300 personas en 121 países y territorios, de las cuales 5.043 murieron, según datos de la agencia de noticias AFP. Así como la enfermedad avanza, también crecen los intentos de engaños por parte de cibercriminales que aprovechan esta pandemia para instalar malware y robar contraseñas para acceder a todo tipo de cuentas, según alertaron varias firmas de ciberseguridad.
Los investigadores descubrieron que los atacantes envían correos o mensajes como si proviniera de entidades confiables, como pueden ser la Organización Mundial de la Salud o los Centros para el Control y la Prevención de Enfermedades de EE. UU., entre otros.
Así como algunos correos vienen con material adjunto que hay que descargar otros invitan a los usuarios a ingresar a páginas falsas que simulan ser la de esas entidades. Pero si se mira con atención la URL se verá que el dominio no coincide con los que corresponden a los sitios genuinos.
Check Point, por ejemplo, identificó una nueva campaña de malware que aprovecha el miedo que hay en torno a la pandemia para instalar un troyano de acceso remoto diseñado para tomar el control total de la computadora de la víctima.
“Emotet es un troyano avanzado, autopropagante y modular. Originalmente era un troyano bancario, pero recientemente se ha utilizado como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. También puede propagarse a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos”, se destaca en un comunicado publicado por la compañía.
FireEye, por su parte, dijo que ha visto un aumento de casos de phishing proveniente de atacantes alineados con China, Corea del Norte y Rusia para distribuir malware. Algunos atacantes envían mails con archivos adjuntos donde hay información de salud cierta sobre el coronavirus.
Pero detrás de eso hay un ataque informático que pasa desapercibido porque cuando el usuario baja el adjunto, se instalan programas maliciosos como como Sogu y Cobalt Strike, según explicó Ben Read, analista de inteligencia de FireEye, en un artículo publicado por MIT Technology Review.
Los analistas de FireEye también identificaron casos de spear phishing, tal como se denominan los ataques de suplantación de identidad que van dirigidos a un blanco en particular, en este caso Corea del Sur. Esos correos, que habrían sido enviados por hackers de Corea del Norte tienen como asunto “Correspondencia sobre coronavirus”.
Ante la preocupación que hay por la pandemia, es probable que el usuario esté más propenso a caer en este tipo de engaños. Y una vez que se abre el adjunto ya es demasiado tarde: el equipo queda infectado.
La empresa de seguridad Recorded Future también identificó ciberataques contra usuarios en EE. UU., Europa e Irán, que están entre las regiones más afectadas por el brote de coronavirus, fuera de China.
Italia, en particular, que es el segundo país más impactado por este brote después de China, está entre las regiones donde más se identificaron campañas de phishing como las mencionadas. Se identificaron casos de instalación de troyanos bancarios como Trickbot, según explican desde Sophos.
“El correo electrónico viene con un documento adjunto que incluye una lista de precauciones para prevenir infecciones. El archivo adjunto es un documento de Word armado, que lleva un script de Visual Basic para Aplicaciones (VBA) que se usa para para entregar una nueva variante de Trickbot”, se menciona en un artículo publicado por esa compañía de ciberseguridad.
Cuando se abre, si las macros están deshabilitadas, el documento de Word muestra un mensaje pidiéndole al destinatario que habilite la edición y el contenido porque “este documento se creó en una versión anterior de Microsoft Office Word”. Y si el usuario acepta hacerlo, se descarga el malware e infecta el equipo.
