Los investigadores de Trend Micro buscan periódicamente muestras en campañas maliciosas relacionadas con COVID-19. Durante el último mes, las palabras COVID-19 y Coronavirus se están utilizando en una variedad de campañas maliciosas que incluyen correo electrónico no deseado, BEC (por sus siglas en inglés Business Email Compromise), malware, ransomware y dominios maliciosos. A medida que el número de afectados continúa aumentando en miles cada día, las campañas que utilizan la enfermedad como señuelo también aumentan.
Tipos de amenazas con COVID-19
Correo no deseado
A medida que los usuarios se adaptan a los nuevos métodos de trabajo, deben tener cuidado con los ciber delincuentes que utilizan herramientas populares en línea, comparten software y archivos adjuntos para sus estafas. Trend Micro Research encontró correos electrónicos relacionados con el coronavirus con archivos adjuntos maliciosos enviados a los usuarios desde febrero de 2020.
Así mismo, se encontraron estafas continuas de compromiso de correo electrónico corporativo (BEC) que usan la enfermedad como un gancho. Los esquemas de BEC generalmente funcionan engañando a los objetivos para que transfieran dinero a un delincuente que se hace pasar por alguien de la misma empresa.
Los investigadores de Trend Micro también adquirieron muestras de correo electrónico enviadas y recibidas de todo el mundo, incluidos países como Estados Unidos, Japón, Rusia y China. Muchos de los correos electrónicos, supuestamente de organizaciones oficiales, contienen actualizaciones y recomendaciones relacionadas con la enfermedad, pero incluyen archivos adjuntos maliciosos.
Páginas Web maliciosas
Los investigadores informaron de varios sitios web maliciosos, específicamente dos de ellos(antivirus-covid19[.] y corona-antivirus.com) promocionan una aplicación que supuestamente puede proteger a los usuarios de COVID-19. El sitio web antivirus-covid19, el cual fue informado a través del blog de Malwarebytes, ahora es inaccesible. Sin embargo, el sitio web corona-antivirus.com, mencionado a través de la cuenta de Twitter de MalwareHunterTeam, todavía está activo hasta ahora.
Por otro lado, los investigadores han descubierto sitios web de diferentes gobiernos falsos, que atraen a los usuarios con la promesa de brindar algún tipo de ayuda o alivio. Estas páginas buscan obtener información personal y recopilar las credenciales de la cuenta bancaria de los usuarios si ingresan un código postal correcto.
Otro ejemplo reciente es hxxp://coronaviruscovid19-information.com/en. en el que se alienta a los usuarios a descargar una aplicación móvil llamada “Formas de deshacerse del coronavirus”, que promete una cura.
Mensajería Maliciosa en Redes Sociales
Las redes sociales desempeñan un papel fundamental para mantener a los usuarios actualizados con la información más reciente, pero al mismo tiempo pueden usarse para ataques cibernéticos. Trend Micro Research investigó una táctica de estafa y phishing que circula en línea a través de Facebook Messenger en la que se reciben diferentes mensajes con la promesa de dos meses de suscripción premium gratuita a Netflix como señuelo.
Malware
Se utilizó un mapa interactivo COVID-19 creado por la Universidad Johns Hopkins, el cual es un tablero interactivo que muestra infecciones y muertes, pero varios miembros de foros clandestinos rusos se aprovecharon de esto y vendieron un kit de infección digital COVID-19 que implementa malware basado en Java. Las víctimas son atraídas para abrir el mapa e incluso compartirlo.
Además, Trend Micro Research analizó un Winlocker con temática de coronavirus que puede bloquear a los usuarios de las máquinas afectadas. Cuando se ejecuta, el malware elimina archivos y modifica los registros del sistema. Luego muestra un mensaje, reproduce sonidos siniestros a través de Windows y requiere una contraseña para desbloquear la máquina.
Ransomware
Una nueva variante de ransomware llamada CoronaVirus se propagó a través de un sitio falso de Wise Cleaner, un sitio web que supuestamente promovió la optimización del sistema, según lo informó MalwareHunterTeam. Las víctimas, sin saberlo, descargan el archivo WSGSetup.exe del sitio falso. Dicho archivo actúa como un descargador de dos tipos de malware: el ransomware CoronaVirus y el troyano de robo de contraseñas llamado Kpot. Esta campaña sigue la tendencia de los recientes ataques de ransomware que van más allá del cifrado de datos y también roban información.
Amenazas móviles
Un ransomware móvil llamado CovidLock proviene de una aplicación maliciosa de Android que supuestamente ayuda a rastrear casos de COVID-19. El ransomware bloquea los teléfonos de las víctimas, que tienen 48 horas para pagar US$100 en bitcoins para recuperar el acceso a sus teléfonos. Las amenazas incluyen la eliminación de datos almacenados en el teléfono y la filtración de detalles de las redes sociales.
Navegadores
Se ha encontrado un nuevo ataque cibernético que propaga una aplicación falsa de información COVID-19 que supuestamente proviene de la Organización Mundial de la Salud (OMS). Los usuarios informaron que sus navegadores web se abren automáticamente sin preguntar, solo para mostrar un mensaje solicitándoles que hagan clic en un botón para descargar una “aplicación de información COVID-19”. Al hacer clic en el botón, se descargará e instalará el ladrón de información en el dispositivo. Esta variante de malware puede robar cookies del navegador, historial del navegador, información de pago del navegador, credenciales de inicio de sesión guardadas, billeteras de criptomonedas y más.