Una nueva cadena masiva de malware aprovecha el Coronavirus

Un grupo APT chino ha aprovechado el flujo de noticias y alerta general en torno a la expansión del Coronavirus, para orquestar un ciberataque “Sobre la propagación de nuevas infecciones de Coronavirus”. Así lo aseguran los investigadores de Check Point Research, la división de Inteligencia de Amenazas de Check Point quienes aseguran haber detectado un ciberataque de suplantación de identidad dirigido al Ministerio de Relaciones Exteriores de Mongolia y envío documentos adjuntos maliciosos a través de correos electrónicos a los funcionarios del país. El objetivo era persuadirles, utilizando mensajes centrados en la situación actual con respecto a este virus, para que dieran a los cibercriminales de este grupo acceso remoto a la red y dejaran una puerta abierta para el robo de información confidencial.  

Asimismo, los expertos de la compañía señalan que uno de los dos documentos relacionados con COVID-19, se titulaba “Sobre la propagación de nuevas infecciones de Coronavirus” e incluso citaba al Comité Nacional de Salud de China. Check Point pudo rastrear el ciberataque y detectar la autoría gracias a la extracción de las huellas dactilares que dejaron los hackers en el propio código del malware almacenado en sus servidores, que estuvieron al descubierto durante unos segundos en Internet. Gracias a esos datos, los investigadores pudieron descubrir el origen de la cadena, concluyendo que el grupo chino APT estuvo operando desde 2016 y tiene como objetivo habitual diversas entidades públicas y empresas de telecomunicaciones de distintos lugares del mundo: Rusia, Ucrania, Bielorrusia y ahora Mongolia.

¿Cómo han llevado a cabo esta campaña masiva de malware?

Este grupo de cibercriminales infectaba los archivos adjuntos con un virus conocido como RoyalRoad, que descarga un archivo en la carpeta de inicio de Word para llevar a cabo una “técnica de persistencia”, que consiste en que cada vez que inicia esta aplicación, se inicia una cadena de infección en todos los archivos con extensión WLL. De esta forma, independientemente del archivo que se abra con Word, se produce la descarga de malware que infecta el equipo del usuario y permite acceder y robar grandes cantidades de información sensible

Este hecho, pone de manifiesto cómo los cibercriminales aprovechan temáticas variadas para lanzar campañas masivas de ciberataques. Sin ir más lejos, la compañía señala que ha registrado más de 4.000 dominios relacionados con el Coronavirus en todo el mundo, y que estos dominios son un 50% más maliciosos que la media. 

“El COVID-19 no sólo representa una amenaza física, sino también una ciberamenaza. En este sentido, nuestra investigación pone de manifiesto que un grupo chino de APT aprovechó el interés público sobre todo lo relacionado con el Coronavirus para su propio beneficio, por lo cual decidieron utilizarlo como una novedosa cadena de infecciones informáticas”, señala Lotem Finkelsteen, jefe de Inteligencia de Amenazas de Check Point.

El coronavirus, también protagonista de una campaña de spam

Este no es el único ataque asociado al coronavirus descubierto. Los laboratorios SophosLabs han descubierto un nuevo ataque de spam activo en Italia realizado mediante emails que incluyen un documento que se ejecuta automáticamente y que contiene el malware Trickbot. Este ciberataque aprovecha el miedo al coronavirus y ofrece un documento en el que los usuarios pueden hacer clic para, supuestamente, conocer una lista de precauciones a tomar para evitar la infección. Desafortunadamente, el documento es un arma de ataque.

Según SophosLabs, el uso del COVID-19 en mensajes de spam puede ser nuevo, pero los mecanismos usados para enviar este tipo de mensajes son similares o idénticos a los utilizados en campañas de Trickbot, un troyano que han estado activo durante al menos los últimos 6 meses. Estos mecanismos incluyen “bots” de spam para enviar los mensajes, un documento adjunto cifrado y un software que instala el malware en el ordenador – dropper – utilizando el lenguaje de programación JavaScript.

A parte de los ataques que utilizan el coronavirus como excusa para aumentar sus posibilidades de infectar a un mayor número de usuarios, la expansión del brote ha obligado a gobiernos de todo el mundo a tomar nuevas medidas de seguridad para impedir una epidemia masiva: muchas empresas (entre las que se encuentran los principales gigantes tecnológicos como Amazon, Microsoft o Facebook) están implementando el teletrabajo como medida alternativa hasta que la situación mejore pero, muchas veces los usuarios no conocen las medidas básicas a llevar a cabo para tele trabajar de forma segura. Por eso, hace unos días os compartimos algunas de las claves en términos de ciberseguridad para teletrabajar desde casa de forma segura.

La entrada Una nueva cadena masiva de malware aprovecha el Coronavirus aparece primero en Globb Security.