Una breve historia de los ataques relacionados con el COVID-19, pt. 1

By

Mientras el mundo lidia con las cuarentenas voluntarias, los aislamientos obligatorios, el distanciamiento social y los edictos de «permanecer en casa», los cibercriminales están muy ocupados creando malware y otros ciberataques que se aprovechan del miedo que rodea a la nueva epidemia de coronavirus (COVID-19).

«Ahora más que nunca, la gente debe ser sumamente consciente de las interacciones que realizan en línea, especialmente de los enlaces y correos electrónicos que abren.» ha comentado a The Sun Terry Greer-King, vicepresidente de SonicWall. «Los cibercriminales hacen todo lo posible por aprovechar los tiempos difíciles y engañar a los usuarios para que abran archivos peligrosos a través de lo que consideran fuentes fiables.»

Los investigadores de amenazas de Capture Labs de SonicWall investigan y analizan constantemente todas las amenazas y han señalado los principales ciberataques que se aprovechan del coronavirus y la COVID-19 para sacar partido del comportamiento humano.

Fichero de almacenamiento malicioso: 5 de febrero de 2020

A principios de febrero, Capture Labs de SonicWall utilizó la tecnología pendiente de patente Real-Time Deep Memory Inspection (RTDMITM) para detectar un fichero de almacenamiento que contenía un archivo ejecutable denominado CoronaVirus_Safety_Measures.exe. El archivo se enviaba a la máquina de la víctima como un adjunto de correo electrónico.

Después de analizar el archivo ejecutable, SonicWall descubrió que pertenece a la familia GOZ InfoStealer, que fue detectada por primera vez por RTDMI™ de SonicWall en noviembre de 2019.

GOZ InfoStealer es conocido por robar los datos del usuario de las aplicaciones instaladas, junto con información del sistema de la víctima, que luego se envía a la entidad amenazante a través del Protocolo simple de transferencia de correo (SMTP).

El autor del malware está actualizando continuamente el código malicioso y cambiando su cadena de infección. Los detalles de este análisis están disponibles en esta SonicAlert: «Las entidades amenazantes están abusando del miedo al coronavirus para difundir archivos ejecutables maliciosos

RAT para Android con temática de coronavirus: 26 de febrero de 2020

Capture Labs de SonicWall observó una táctica para atemorizar por el coronavirus que se utilizó en el ecosistema Android en forma de un Troyano de Acceso Remoto (RAT), que es un apk de Android que simplemente se conoce por el nombre de coronavirus.

Después de su instalación y ejecución, esta muestra solicita a la víctima que vuelva a introducir el pin o el patrón del dispositivo y lo roba al tiempo que solicita repetidamente funciones de «servicio de accesibilidad».

Al ver la estructura del código (véase a continuación), resulta evidente que se está utilizando algún tipo de empaquetamiento o codificación en esta muestra. Los nombres de clase parecen aleatorios, pero tienen una estructura en sí mismos; la mayoría de los nombres de clase tienen una longitud similar y también son aleatorios.

Al inspeccionar los archivos Manifest.xml, la mayoría de las actividades enumeradas no están disponibles en el código descompilado. Esto indica que los archivos de clase «reales» se descifrarán durante la ejecución. Este es un mecanismo que dificulta que las herramientas automatizadas analicen el código y den un veredicto.

Los detalles de este análisis están disponibles en esta SonicAlert: «RAT para Android con temática de Coronavirus al acecho.»

Capture Labs de SonicWall ofrece protección contra estas amenazas con las siguientes firmas:

  • Spyware.RT (troyano)
  • AndroidOS.Spyware.DE (troyano)

Scareware COVID-19 Hoax: 13 de marzo de 2020

Los investigadores de amenazas de Capture Labs de SonicWall observaron un malware que se aprovechaba del miedo al coronavirus (COVID-19), también conocido como scareware.  La muestra finge ser un ransomware al mostrar una nota de rescate (que se muestra a continuación). Sin embargo, en realidad no encripta ningún archivo.

Para asustar a la víctima, se muestran varios mensajes de advertencia de seguridad.

Al final, el malware es benigno y espera que el miedo y el comportamiento humano empujen a las víctimas a pagar el rescate. Los detalles de este análisis están disponibles en esta SonicAlert: «Scareware COVID-19 Hoax».

Capture Labs de SonicWall ofrece protección contra esta amenaza a través de la siguiente firma:

  • GAV: Scareware.CoVid_A (troyano)

«Campaña de Marketing» maliciosa para propagar RAT para Android: 14 de marzo de 2020

Los investigadores de amenazas de Capture Labs de SonicWall descubrieron y analizaron sitios web de campañas maliciosas que actualmente presentan (en el momento de la publicación) troyanos de acceso remoto (RAT) para Android pertenecientes a la misma familia descubierta en febrero de 2020 (véase a continuación).

Los ciberatacantes están creando sitios web que difunden información errónea sobre el coronavirus (COVID-19), reivindicando falsamente formas de «deshacerse» del nuevo virus. En cambio, estos sitios atraen a nuevas víctimas a través de enlaces de descarga.

SonicWall encontró dos variantes principales de esta estrategia, una en inglés y otra en turco. Ambas ejecutan un archivo apk denominado corona.apk cuando la víctima hace clic en la imagen de Google Play.

Al descargar el archivo apk y examinar el código, SonicWall encontró una estructura similar a la variante descrita en febrero. Este ejemplo es un troyano de acceso remoto (RAT) para Android y puede realizar una serie de operaciones maliciosas, entre ellas:

  • Obtener información sobre el dispositivo
  • Obtener una lista de las aplicaciones instaladas
  • Permitir el control remoto del dispositivo a través de TeamViewer
  • Robar la contraseña de Gmail y/o el patrón de bloqueo
  • Keylogger
  • Subir archivos
  • Robar mensajes SMS y contactos
  • Desactivar Play Protect

Hay mucha información falsa y pánico en torno al coronavirus (COVID-19). Capture Labs de SonicWall reitera que no hay aplicaciones móviles que puedan rastrear las infecciones de coronavirus o apuntar a una vacuna. Tenga sumo cuidado.

Los detalles de este análisis están disponibles en esta SonicAlert: «Información errónea relacionada con el coronavirus utilizada para propagar RAT malicioso para Android.»

Capture Labs de SonicWall ofrece protección contra esta amenaza con las siguientes firmas:

  • Spyware.RT (troyano)
  • Spyware.DE (troyano)

Azorult.Rk de 12 capas: 16 de marzo de 2020

Los investigadores de Capture Labs de SonicWall encontraron una nueva muestra y actividad del binario de «coronavirus» Azorult.Rk. Los autores de malware han aprovechado el deseo de la gente de obtener información sobre la pandemia de COVID-19 desde que se descubrió por primera vez en diciembre de 2019, y desde entonces no ha hecho más que aumentar.

Azorult.Rk se enmascara como una aplicación que proporciona soporte de diagnóstico, incluye hasta una captura de pantalla de una popular herramienta interactiva que identifica la exposición y los casos de COVID-19. Incluye 12 capas diferentes de información estática y dinámica, lo que dificulta que los analistas de amenazas puedan investigarlo rápidamente. Este análisis específico sirve como una base sólida para ilustrar cómo los autores de malware ocultan sus motivos y tácticas.

Después de clasificar las capas, SonicWall descubrió que el malware finalmente intentaba transmitir estadísticas y parámetros del hardware físico de la máquina, así como nombres de usuario, nombres de host y mucho más.

Los detalles de este análisis están disponibles en esta SonicAlert: «Coronavirus, COVID-19 y Azorult.Rk»

Capture Labs de SonicWall ofrece protección contra esta amenaza con la siguiente firma:

  • GAV: Azorult.RK

Ransomware de Coronavirus: 19 de marzo de 2020

Los investigadores de amenazas de Capture Labs de SonicWall han observado una nueva amenaza de ransomware que se aprovecha del miedo al coronavirus. Este ransomware cifra y comprime los archivos y los renombra como «coronaVi2022@protonmail.ch__<nombrearchivo>». Luego cambia el nombre de la unidad a coronavirus y deja el archivo coronavirus.txt en todas y cada una de las carpetas del sistema infectado.

Tras modificar las claves de registro, añade nuevas claves y muestra a los usuarios el siguiente mensaje de rescate:

Después de 20 minutos, reinicia la máquina víctima y muestra otra nota de rescate.

Los detalles de este análisis están disponibles en esta SonicAlert: «Ransomware de Coronavirus

Capture Labs de SonicWall ofrece protección contra esta amenaza con las siguientes firmas:

  • GAV: CoronaVirus.RSM_2
  • GAV : CoronaVirus.RSM

Soluciones de VPN para trabajo desde casa

Para ayudar a las organizaciones a implantar de manera rentable una tecnología VPN destinada a una plantilla cada vez mayor que trabaja desde casa, SonicWall está poniendo sus productos y servicios de acceso remoto a disposición tanto de clientes actuales como nuevos a precios muy rebajados. Asimismo, estamos agrupando soluciones de seguridad crítica para nuevos clientes empresariales (grandes empresas y pymes).

Esta oferta especial incluye dispositivos virtuales Secure Mobile Access (SMA) dimensionados para grandes empresas y pymes y, además, importantes descuentos en Cloud App Security y protección de endpoints Capture Client cuando se combinan con SMA.

Estos paquetes se agrupan de forma que incluyan todo lo necesario para proteger a los empleados fuera de la red.

This post is also available in: Inglés Francés Alemán Italiano

SonicWall Staff