Visto: 556

Mensajes falsos de coronavirus propagan infecciones de EMOTET

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Según los informes publicados esta semana por IBM y Kaspersky, los cibercriminales están utilizando mensajes de correo electrónico falsos sobre el coronavirus para propagar el troyano Emotet y otros tipos de malware.

El jueves, la Organización Mundial de la Salud de las Naciones Unidas declaró el brote de coronavirus como una emergencia de salud pública. El virus, que se detectó por primera vez en Wuhan, China, en diciembre, ahora se ha extendido a otras naciones, incluido Estados Unidos.

La cifra de muertos por el virus llegó a 213 el viernes y se confirmaron más de 9.600 infecciones en todo el mundo, informó Reuters, citando datos de la Organización Mundial de la Salud de China.

 

Regiones en la mira

En los casos que los investigadores de IBM X-Force han descubierto, los correos electrónicos, que contienen archivos adjuntos maliciosos de Microsoft Word, se centran principalmente en Japón. Los cibercriminales que propagan el troyano Emotet aparentemente están intentando atacar regiones más cercanas a China, en donde se originó el coronavirus, pero es probable que sus tácticas cambien a otros países en las próximas semanas, según IBM.

"En un futuro se espera ver más tráfico de correos electrónicos maliciosos basados en el coronavirus, esto a medida que la infección se propaga", comentan los investigadores de IBM. "En estas primeras muestras, las víctimas japonesas probablemente fueron atacadas debido a su proximidad con China". Desafortunadamente, es bastante común que las amenazas detonen emociones humanas básicas como el miedo - especialmente si un evento a nivel mundial ya ha causado terror y pánico ".

Los investigadores de Kaspersky también han encontrado varias campañas de spam que utilizan advertencias de coronavirus para atacar a las víctimas, según un informe compartido con Information Security Media Group. En muchos casos, los analistas encontraron que los ciberdelincuentes intentaban desplegar varios troyanos en los dispositivos de las víctimas.

"Hasta ahora, solo hemos visto 10 archivos únicos, pero como este tipo de actividad a menudo ocurre con temas de medios populares, podemos pensar que esta tendencia crecerá", comenta Anton Ivanov, analista de malware de Kaspersky. "A medida que las personas continúen preocupadas por su salud, es posible que veamos más y más malware oculto en documentos falsos sobre la propagación del coronavirus".

 

Apuntando a Japón

En los casos de Japón, los analistas de IBM señalan que muchos de los correos electrónicos están diseñados para parecer que provienen de un proveedor de servicios de asistencia social para discapacitados en ese país.

En un correo electrónico, los atacantes afirman que se ha detectado el coronavirus en la región de Gifu en Japón, mientras que otro menciona a Osaka. Los atacantes parecen estar usando advertencias e idiomas específicamente diseñados para asustar a los habitantes de esas áreas, lo que hace que sean más propensos a hacer clic en el archivo adjunto, según IBM. Los correos electrónicos también terminan con un pie de página que menciona una dirección postal legítima, así como un número de teléfono y fax, según el informe de IBM.

 

202002 02 Coronavirus Emotet01

Correo electrónico dirigido a víctimas en Japón (Fuente: IBM)

 

Cada uno de estos correos electrónicos contiene un documento adjunto de Word, que se presenta como ofreciendo actualizaciones e información de salud, según IBM. Si se abre el archivo adjunto y se habilitan las macros de Office 365, sin embargo, un script de macro VBA ofuscado comienza a ejecutarse en segundo plano, que luego instala un script Powershell y descarga el troyano Emotet, según IBM.

"Anteriormente, los correos electrónicos japoneses de Emotet se habían centrado en las notificaciones y facturas de pago de tipo corporativo, siguiendo una estrategia similar a los correos electrónicos dirigidos a víctimas europeas". Este nuevo enfoque para difundir Emotet puede ser significativamente más exitoso, debido al amplio impacto del coronavirus y el miedo a la infección que lo rodea", de acuerdo al informe de X-Force.

 

Emotet en aumento

En los últimos meses, investigadores de seguridad y agencias gubernamentales han emitido advertencias sobre aumentos en los ataques de Emotet.

La Agencia de Seguridad en Ciberseguridad e Infraestructura de EE. UU. advirtió recientemente que ha visto un aumento en los ataques dirigidos con Emotet.

Si bien Emotet comenzó su vida como un troyano bancario hace cinco años, sus desarrolladores han agregado funcionalidades adicionales, que incluyen convertir el malware en un gotero, el cual se utiliza para instalar código malicioso adicional en los endpoints en los que está infectado, así como para darle la capacidad de buscar minuciosamente en las PC de las víctimas para obtener información de contacto. Además, otros atacantes han alquilado cada vez más botnets Emotet para instalar otro malware, incluido Trickbot y varios tipos de ransomware, según investigadores de seguridad.

Una vez que se descarga el malware, Emotet utiliza el sistema infectado para enviar correos electrónicos adicionales de phishing y spam en un esfuerzo por hacer crecer la botnet, según los investigadores de Cofense.

Los atacantes de Emotet también han usado previamente correos electrónicos sobre temas en las noticias para difundir el malware. En septiembre de 2019, por ejemplo, los atacantes usaron correos electrónicos de phishing que afirmaban contener una versión de las memorias de Edward Snowden, que se había publicado una semana antes, en un archivo adjunto de Microsoft Word. Una vez descargados, las macros maliciosos en el documento activaron un comando de PowerShell, que luego descargó el malware Emotet en el dispositivo infectandolo.

 

Furente de Información: https://www.bankinfosecurity.com/fake-coronavirus-messages-spreading-emotet-infections-a-13675