Autor: Juan Amado, Field Marketing Manager Latin America, WatchGuard Technologies, Inc.
Los ciberdelincuentes aprovechan cualquier noticia o acontecimiento mundial importante para lanzar sus ataques, y la crisis causada por el Covid-19 no pasa desapercibida.
Desafortunadamente, los hackers están explotando este momento de mayor temor para captar la atención de los usuarios y así engañarlos, hackear sus sistemas o distribuir malware.
Las noticias sobre el coronavirus son utilizadas como carnada. Los correos electrónicos de sus empleados y las redes sociales están inundados de informes, comentarios, videos y enlaces sobre el virus.
A través del envío de correos electrónicos de phishing con archivos adjuntos maliciosos, que supuestamente contienen información esencial sobre el virus, el atacante consigue alcanzar su objetivo: infectar las máquinas con ransomware, criptomineros y otros tipos de malware.
Un mapa en vivo sobre la expansión del coronavirus utilizado para propagar malware es un buen ejemplo de cómo los atacantes se aprovechan de la curiosidad de las personas.
El nuevo informe de seguridad de WatchGuard Technologies del cuarto trimestre de 2019, identificó el adware macOS y un exploit de Excel 2017 ejecutado desenfrenadamente, además de un análisis del malware keylogger utilizado en ataques de phishing relacionados con Coronavirus.
Algunos ejemplos de cómo los actores de amenazas se están aprovechando del COVID-19 son los siguientes:
- Phishing: Hacerse pasar por organizaciones sanitarias:
El Centro de Quejas de Delitos por Internet (IC3) del FBI está advirtiendo a las personas sobre las campañas de phishing que se hacen pasar por los Centros para el Control y Prevención de Enfermedades (CDC), la Organización Mundial de la Salud (OMS) y otras organizaciones de atención médica.
La OMS informó de mensajes de phishing sospechosos que se hacían pasar por su organización y que pretendían dar información crítica sobre la salud. A las víctimas se les pedía que hicieran clic en un enlace, que descargaran un archivo o que proporcionaran información confidencial.
Los correos electrónicos maliciosos engañan a los usuarios con la sugerencia de información urgente sobre el virus como un medio para introducir malware o robar contraseñas.
. Explotación de los pagos de ayuda o subsidios: Los ciberdelincuentes se aprovechan de las personas desesperadas por los fondos que necesitan para hacerle frente a la tormenta económica y laboral, fingiendo aparecer como el Servicio de Impuestos Internos (IRS).
Se les pide a las víctimas que confirmen un número de cuenta a través de un documento adjunto para recibir sus pagos. Al hacerlo, se introduce un troyano de acceso remoto en la máquina del usuario.
- Spamming con el troyano Emotet. Los hackers utilizan consejos aparentemente útiles sobre cómo prevenir la propagación del Coronavirus dirigido a usuarios en Japón como parte de una campaña de spam diseñada para introducir el troyano Emotet. Éste es capaz de secuestrar cuentas de correo electrónico y falsificar mensajes para infiltrarse aún más en un entorno.
. La app de rastreo de virus falsos ofrece ransomware. Una aplicación que se enmascara como un rastreador de mapas de brotes de Coronavirus es en realidad un ransomware que bloquea su teléfono. La aplicación, «COVID19 Tracker», infecta su dispositivo y exige 100 dólares en Bitcoin en 48 horas.
Durante este tiempo de crisis, los empleados, especialmente aquellos que trabajan de forma remota, son objetivos principales para los ciberdelincuentes.
Los ataques de phishing se han disparado específicamente, con docenas de dominios maliciosos que explotan el coronavirus desplegado cada día. Muchas de estas campañas utilizan kits de phishing conocidos, simplemente reutilizados para los tiempos.
El COVID-19 como fuente de dominio malicioso
Una variedad de personas rastrea dominios maliciosos y otra inteligencia y la comparte abiertamente con la comunidad de seguridad para usarla en soluciones de filtrado de DNS. Muchas de estas fuentes de inteligencia han intensificado sus esfuerzos para detectar y clasificar dominios maliciosos que explotan el brote de Coronavirus y proporcionar actualizaciones periódicas de sus feeds contra estos ataques específicos.
WatchGuard selecciona y actualiza continuamente sus fuentes de inteligencia para abordar las últimas amenazas, protegiendo su red y sus usuarios de delincuentes oportunistas.
Con ese fin, WatchGuard DNSWatch y DNSWatchGO ahora incluyen tres fuentes independientes de dominios maliciosos relacionados con COVID-19, incluidos los del Centro Criptológico Nacional CERT. Se agregarán feeds de inteligencia adicionales a medida que evoluciona la imagen de la amenaza.