Recientes masivas campañas de Phishing utilizan a COVID-19 como Anzuelo

0 0 jueves, 19 de marzo de 2020

En los últimos meses la vida cotidiana de gran parte de la población mundial se ha visto afectada por la pandemia denominada Coronavirus (COVID-19), causando una ola de todo tipo de ciberataques que tienen como objetivo el eslabón más débil de un sistema informático, el usuario.

Las recientes investigaciones observadas alrededor del mundo destacan que dichos ataques han sido más notables en Italia, República Checa, Japón, Estados Unidos, Canadá, Australia y Turquía. Además, los atacantes no han realizado las campañas de mensajes solo inglés, sino también en italiano, checo, japonés, español y francés.

Mientras todas las industrias han sido blanco alguna vez de este tipo de ataques, actualmente cuando se usa COVID-19 como anzuelo, el objetivo suele ser en especial compañías y organizaciones de cuidado de la salud, educación, manufactura, entretenimiento, publicidad, clínicas y hospitales.

Otra característica es que los atacantes están abusando de los nombres y los logos de muchas compañías y organizaciones de confianza en un intento de manipular a los que reciben los mensajes. En especial, la suplantación de identidad y abuso de las marcas de las organizaciones de la salud nacionales e internacionales de todo el mundo, incluida la Organización Mundial de la Salud (OMS), los Centros de Control de Enfermedades de los Estados Unidos (CDC) y las organizaciones nacionales de salud de Canadá y Australia.

Los analistas destacan que los actores detrás de estas campañas buscan propagar Troyanos de acceso remoto (RATs), Keyloggers, ladrones de información (Info Stealers) y troyanos banqueros como Trickbot, así como para recolectar credenciales, que pueden ser de redes sociales, correos electrónicos, servicios en la nube, páginas de compras, entre otros.

A continuación, varios ejemplos destacados que han sido observados:

Envío de correos por etapas

Iniciamos con uno común, en el cual el atacante inicia el ataque enviando un primer correo al usuario con un asunto de urgencia para ver si el usuario pica el anzuelo, dicho correo no contiene la meta final del atacante, pero los correos subsiguientes si lo tendrán.

En este caso en particular, el atacante está suplantando la identidad de un conocido por el usuario, puede que su conocido fuera víctima de un robo de credenciales. Algo a destacar es el final del mensaje, en que solicita que responda por correo electrónico debido a que su teléfono está fuera de servicio.


Robo de Credenciales por sitio web Phishing (Microsoft Office)


Estos correos suelen ser enviados a compañías dedicadas al cuidado de la salud, son altamente personalizables de acuerdo al objetivo para incrementar su credibilidad. Suelen afirmar ser de una gran autoridad de la empresa, como el presidente o suele afirmar que son órdenes pautadas por dicha autoridad.

El mensaje del ejemplo se dirige como compañero de profesión hacia el usuario receptor, transmitiendo el mensaje que se deben cancelar todos los viajes a China y agrega un archivo adjunto de Word que dice contener instrucciones para la protección de COVID-19, el cual contiene un enlace dentro de él. Al hacer click en el enlace, lo direccionará a una página web Phishing de credenciales idéntica en formato y tema de microsoft office que solicitará un nombre y una contraseña del correo electrónico.


Envío de encuestas a los empleados


El siguiente ataque, es un correo que afirma provenir del departamento de seguridad IT hacia los empleados de la organización, con un contenido de educación respecto a COVID-19. Donde solicita al destinatario que haga click en el enlace para que llene una encuesta. De hacer click el usuario será direccionado a un sitio web Phishing  con una apariencia exacta a Outlook Web que solicitará las credenciales.


Documentos con macros maliciosos

En este mes de marzo se ha visto múltiples instancias de ataques por envío de macros maliciosos en documentos Word o Excel. Estos correos dicen provenir de un profesional médico local y miembro de alguna importante organización médica, junto con un archivo adjunto que contiene actualizaciones de las infecciones en el área cercana. Si el receptor habilita inicia los macros del documento comprimido, el documento inyectará un descargador, en este caso fue Ostap JavaScript, el cual fue utilizado para descargar un troyano bancario.


URL hacia documentos maliciosos con macros

Esta fue un correo dirigido a los padres y representantes, que aclamaba provenir de la agencia pública de la salud de Canadá. Aprovechando de las emociones parentales, dice contener actualizaciones de medidas a tomar para cuidar a lo niños del COVID-19.

El correo electrónico contiene un URL, con un enlace hacia un documento comprimido de Microsoft Word con macros. Si el usuario llega a ejecutar los macros, descargará e instalará un Malware, en este en concreto instaló el Troyano Banquero Ursnif.


Campañas promocionales de supervivencia (Spam)


Esta campaña en particular se encarga de promocionar la venta un curso de supervivencia en caso de una pandemia, sembrando miedo e incitando al usuario a ver un vídeo de más de 30 minutos de duración, antes de obtener el de compra del curso.

Los investigadores no verificaron que sucede después de realizar el pago y recomendaron a los usuarios no morder el anzuelo.

Cabe destacar que hay campañas de Spam para vender cualquier otro tipo de artículos para afrontar falsamente la epidemia, como (Kits médicos, manuales o medicinas).

Venta de mascarillas


Se estima que estos ataques seguirán ocurriendo en igual o mayor medida, es por ello que desde Arkavia Networks les dejamos las siguientes recomendaciones:

  1. Verificar la fuente del correo.
  2. Comprobar la veracidad del correo electrónico (Llamada telefónica, mensajería instantánea, etc).
  3. Si el correo contiene un enlace, no importa de donde provenga, verificar siempre el enlace antes de hacer click.
  4. Si el correo contiene un archivo o documento, no importa de donde provenga, no descargue el archivo a menos que sea necesario. En caso de descargarlo, recuerde examinarlo con algún antivirus actualizado antes de ejecutarlo.


Indicadores de Compromiso (IoCs)

Archivos - SHA256
Documento Word con Macros (Ostap) 
4616c3a50e0393ababc925b496f04f3687664e9d1c4b7966485a7a9124047214

Documento .xlam con Macros (GuLoader & AgentTesla)
4f630d3622d1e17c75aac44090b3b5bd47d5b2ae113434cde5708bbb7cffef49

Documento .doc con Macros (Ave Maria)
c9a8dd42a46e2c6849564576f96db6741ad0036726f98d7b43641907f953d3f3



URLs
hxxp[:]//www[.]agt[.]net/~mnpicker/2jgmu9r/h9a6kn.html
hxxp[:]//adsign[.]lk/wp-admin/tkennedy.php?t=[Redacted Base64]
hxxp[:]//davidrothphotography[.]com/zHzrr
hxxps[:]//bitbucket[.]org/example123321/download/downloads/foldingathomeapp.exe
hxxps[:]//toyswithpizzazz[.]com[.]au/service/coronavirus
www[.]pandemicsurvival[.]bid
coronavirusmedicalkit[.]com
groundsnack[.]icu



Fuente:

Etiquetas:

COMPARTIR:

Twitter Facebook Google Pinterest

COMENTARIOS

BLOGGER
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Recientes masivas campañas de Phishing utilizan a COVID-19 como Anzuelo
Recientes masivas campañas de Phishing utilizan a COVID-19 como Anzuelo
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4LCjRmZFfejjcdpqyMriQOIf9N-oM1n4Dv-tH3Cle0bsAp8DYAT6Pe21JT05qPKCULgJooU_dyDFb4UpnFcpjERlhhR3xjtBWX3BGxJywCV0p7NCbqzWk9PHRsb8muV343GYrhos9Yps/s640/Phishing+Campains+COVID-19.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4LCjRmZFfejjcdpqyMriQOIf9N-oM1n4Dv-tH3Cle0bsAp8DYAT6Pe21JT05qPKCULgJooU_dyDFb4UpnFcpjERlhhR3xjtBWX3BGxJywCV0p7NCbqzWk9PHRsb8muV343GYrhos9Yps/s72-c/Phishing+Campains+COVID-19.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/03/recientes-masivas-campanas-de-phishing.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/03/recientes-masivas-campanas-de-phishing.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy