Los piratas informáticos están aprovechando la crisis sanitaria del coronavirus para engañar a las víctimas utilizando sitios en internet o aplicaciones que pretenden proporcionar información o servicios relacionados con este virus. Investigadores de seguridad cibernética de DomainTools han identificado una página web, coronavirusapp.site, que facilita la instalación de CovidLock, un software que pide un rescate a cambio de dinero (ransomware). Este riesgo se oculta bajo la apariencia de una app de seguimiento de coronavirus.
Según Facua, la aplicación supuestamente hace un seguimiento de las actualizaciones relativas a la propagación del Covid-19, países, número de afectados, fallecidos, incluso afirma que notifica a las víctimas cuando un individuo infectado con el coronavirus se encuentra en su vecindad utilizando imágenes de mapa de calor.
Para el engaño, este software muestra la supuesta certificación de la Organización Mundial de la Salud y los Centros para el Control y la Prevención de Enfermedades, el sitio web es un conducto para el ransomware CovidLock, que una vez instalado, altera la pantalla de bloqueo del dispositivo infectado y exige un pago de unos 90 euros (100 dólares) en Bitcoin a cambio de una contraseña que lo desbloquea y devuelve el control del dispositivo al propietario.
Si la víctima no paga el rescate dentro de las 48 horas, CovidLock amenaza con borrar todos los archivos que están almacenados en el teléfono, incluyendo contactos, fotos y videos. Amenazas que hacen a través del mensaje «su gps está vigilado y su ubicación es conocida. Si intentas algo estúpido tu teléfono será borrado automáticamente». Además aseguran hacer pública la información personal si no se atienden sus exigencias.
Desde enero de 2020, la empresa Check Point estima que se han registrado más de 4,000 nombres de dominio relacionados con el coronavirus en todo el mundo, el 3% de los cuales se consideran «maliciosos» y el 5% «sospechosos».
Además los correos electrónicos maliciosos relacionados con el coronavirus que se han enviado hasta la fecha representan el mayor volumen de ciberataques registrados bajo un mismo tema en los últimos años, y probablemente en la historia, según informó hoy la multinacional de ciberseguridad Proofpoint.
Los expertos han detectado nuevos ataques por parte de los prolíficos grupos de ‘hackers’ TA505 y TA564, que han puesto en marcha sofisticadas campañas dirigidas a las industrias farmacéutica, de salud y manufacturera de Estados Unidos, así como a servicios públicos.
Los investigadores han constatado el uso del coronavirus como gancho en envíos de ‘phishing’ de credenciales, adjuntos y enlaces maliciosos, compromiso de cuentas de correo empresarial (BEC), falsificación de ‘landing pages’, ‘donwloaders’, ‘spam’ y envío de ‘malware’’ entre otras amenazas.
Entre los ejemplos de ataques figura un ‘malware’ desconocido, denominado RedLine Stealer, que aprovecha la predisposición de la gente a ayudar a encontrar una cura para el Covid-19 a través de un proyecto de informática distribuida para investigación de enfermedades.
RedLine Stealer se está comercializando en foros rusos underground con distintas opciones de precio, a partir de 100 dólares, y ha sido actualizado recientemente para el robo de monederos de criptomonedas.
REMEDIOS ANTIVIRUS
Proofprint también tiene constancia de correos dirigidos a padres y cuidadores, que incluyen un ‘malware’ llamado Ursnif, que puede robar información como la de las cuentas bancarias. Los atacantes han utilizado el nombre real del receptor para aumentar la percepción de legitimidad del correo.
Se han hallado además mails dirigidos a organizaciones de salud, ofreciendo remedios para el coronavirus a cambio de bitcoins, así como falsas guías sobre cómo proteger del coronavirus a familia y amigos que invitan a los usuarios a clicar en enlaces maliciosos.
La directora senior del equipo de Investigación y detección de Proofpoint, Sherrod DeGrippo, explica que durante más de cinco semanas han observado numerosas campañas de correo malicioso ligadas al Covid-19, «muchas de ellas utilizando el miedo para convencer a las víctimas potenciales de que hagan clic”.
“Los criminales han enviado oleadas de correos que han variado desde varias docenas hasta más de 200.000 al mismo tiempo, y el número de campañas continúa aumentando. Inicialmente, detectamos alrededor de una campaña al día en todo el mundo, mientras que ahora estamos viendo entre 3 y 4 cada día. El aumento subraya una vez más el atractivo de las noticias globales para los cibercriminales”, añade esta experta.
Según DeGripop, el uso de Covid-19 como cebo es una campaña de ingeniería social a gran escala. «Los atacantes saben que la gente está buscando información segura y que está más predispuesta a hacer clic en cualquier enlace o a descargar archivos adjuntos”
Aproximadamente el 70% de los correos que ha descubierto el equipo de amenazas de Proofpoint contiene malware y casi un 30% tiene como objetivo robar datos de credenciales de las víctimas. La mayoría de estos correos pretenden robar credenciales utilizando falsas webs de acceso a Gmail o a Office 365, pidiendo a las personas que introduzcan su nombre de usuario y su contraseña”, concluye la directora senior del Equipo de Investigación y Detección de Proofpoint.
(SERVIMEDIA)