Ciberseguridad en tiempos de Coronavirus - nueva normalidad

Información para empresas

 

Usamos cookies propias y de terceros que entre otras cosas recogen datos sobre sus hábitos de navegación para mostrarle publicidad personalizada y realizar análisis de uso de nuestro sitio.
Si continúa navegando consideramos que acepta su uso. OK Más información

Últimos ataques

Malware

_______

 

Las personas que hay detrás de la distribución de las diferentes familias de malware han continuado utilizando una temática relacionada con COVID-19 en sus campañas para seguir aprovechándose de la situación.

 

Han sido muchas las familias de malware que han ido adaptando sus tácticas a la situación actual del mundo, para camuflarse como herramientas útiles frente al Coronavirus. Durante este periodo se han detectado múltiples campañas distribuyendo diferentes troyanos, como NanoCore, IceID, Ginp o Crydroid entre otros, además de producirse un aumento en el número de campañas dirigidas a dispositivos móviles Android.

 

A continuación, se mencionan algunas de las campañas más destacadas que han sido detectadas durante este periodo:

 

Troyanos

 

Han sido detectados diferentes tipos de troyanos que hacen de la actualidad la temática de sus campañas de malspam, con la intención de convencer a las víctimas de descargar y ejecutar archivos maliciosos. Una vez consiguen infectar los equipos o dispositivos, el objetivo de los ciberdelincuentes será robar credenciales o información personal relacionada con la víctima.

 

NanoCore. Una de las campañas detectadas del troyano NanoCore suplantaba, en sus plantillas de spam, al Cuerpo Nacional de Policía Español para distribuir un archivo ejecutable adjunto.

El código fuente de este troyano fue filtrado a mediados del 2015, por lo que cualquier actor amenaza puede utilizarlo para realizar actividades maliciosas. Otra de las campañas detectadas con este malware fue dirigida contra Chile, suplantando  a la compañía de distribución postal ChilePost, tratando de engañar a las posibles víctimas de demoras en las entregas producidas por la pandemia de COVID-19.

GuLoader. Este troyano de tipo loader ha seguido utilizando una temática relacionada con el COVID-19 en su distribucion mediante campañas de malspam. En las campañas detectadas, el binario de Guloader se distribuyó en correos, suplantando al instituto de Salud de Serbia ("Institut za zdravstvo Srbije") y al Ministerio de Salud de Eslovenia (“Ministrstvo za zdravje”) dando supuestos consejos contra la pandemia.

Una vez la víctima se encuentra infectada por Guloader, éste descarga y ejecuta otros troyanos e infostealers  como FormBook, NanoCore, Lokibot, Remcos, etc.

 

IceID. Se ha detectado una nueva campaña del troyano bancario IceID, el cual ha traído actualizadas parte de sus tácticas de infección. La campaña suplantaba al departamento de trabajo de los EE.UU. (“U.S. Department of Labor”) e informaba de las ayudas relacionadas con la ley FMLA (Family and Medical Leave Act).

Esta campaña se componía de tres fases para evitar que ser detectada. La primera fase incluía un documento de Word con macros maliciosas que actuaban de dropper de la segunda etapa del malware. En la segunda etapa, un fichero ejecutable previamente descargado actúa de loader  de otro ejecutable (tercera fase), que será el encargado de descargar los principales módulos de IceID en el equipo. Este troyano utiliza técnicas de esteganografía ocultando sus cargas maliciosas en imágenes haciendo más difícil su descubrimiento.

 

Himera y Absent-Loader. Otros troyanos de tipo loader como Himera y Absent también han utilizado temática relacionada con solicitudes de ayudas de los EE.UU., como FMLA (Family and Medical Leave Act). Estos correos electrónicos fueron parte de una campaña que distribuyó las dos familias de troyanos.

Los ciberdelincuentes adjuntaron a los correos documentos de Word con macros maliciosas que actuaban de dropper del troyano. Los dos tipos de loader utilizaban técnicas anti-sandbox y anti-debug para complicar su análisis.

 

ZLoader. Desde junio se han estado detectando campañas del troyano bancario ZLoader, también conocido como Zeus Sphinx, suplantando a organizaciones activas en la pandemia.

 

Este troyano bancario tiene como objetivo las credenciales de entidades bancarias de todo el mundo. Recientemente se ha descubierto una nueva versión de documentos Excel, que contienen macros maliciosas, encargadas de descargar y ejecutar la carga final en los equipos de las víctimas.

 

Malware en dispositivos móviles

 

En el último periodo se ha producido un aumento del número de campañas relacionadas con COVID-19 dirigidas a dispositivos móviles Android. Entre las campañas más destacadas se encuentran las principales familias de troyanos bancarios, Cerberus, Anubis o Ginp.

 

Ginp. Las principales campañas detectadas de este troyano bancario han ido dirigidas directamente a suplantar los sitios web oficiales de organismos españoles, como el Ministerio de Sanidad. En este caso, para distribuir el troyano Ginp capaz de robar las credenciales de los principales bancos de España, entre otras funciones.

Cerberus. Cerberus también ha seguido utilizando la temática de COVID-19 para distribuirse. Se han detectado múltiples campañas dirigidas contra Turquía o Malasia, con supuestos regalos de conexión a Internet a los ciudadanos por quedarse confinados en casa. Cerberus también tiene la capacidad de robar credenciales bancarias así como de actuar como un troyano de acceso remoto.

Cerberus también ha suplantado a empresas como Vodafone con el mismo señuelo de conexión gratis a Internet.

Además un actor ha dirigido sus campañas de Cerberus a los ciudadanos italianos falsificando el sitio web oficial del INPS (“Istituto Nazionale della Previdenza Sociale”), principal entidad del sistema público de jubilación italiano.

CryCryptor. Se ha detectado la distribución de un nuevo ransomware denominado CryCryptor, dirigido a usuarios de Android en Canadá. Esta campaña se ha distribuido a través de dos sitios web haciéndose pasar por una aplicación oficial de seguimiento del COVID-19 proporcionada por Health Canada.

 

Este ransomware surgió días después a que el gobierno de Canadá anunciara oficialmente el desarrollo de una aplicación para realizar un seguimiento voluntario de los infectados.

Cuando la víctima ejecuta la aplicación maliciosa se cifran todos los archivos del dispositivo que tienen las extensiones más comunes. Después del cifrado, CryCryptor muestra una notificación con el texto “Personal files encrypted, see readme_now.txt”. El fichero “readme_now.txt” incluye la nota de rescate y se encuentra en cada directorio que contenga archivos cifrados.

¡Síguenos! Iremos compartiendo más contenidos contigo próximamente…