Todo tipo de actores maliciosos ha estado aprovechando la sensación de pánico generalizada para llevar adelante sus operaciones. Desde campañas de phishing de cibercriminales que buscan robar dinero hasta grupos respaldados por gobiernos están intentando sacar partido de la preocupación desatada por el COVID-19 para infectar a sus blancos.
Desde ESET España alertaron esta semana sobre un correo de phishing, en un correcto español, que hace alusión a la preparación de una vacuna casera para evitar la enfermedad. El falso correo incluye un adjunto que contiene la supuesta lista de elementos necesarios para preparar la falsa vacuna, que esconde un troyano detectado por las soluciones de ESET como Win32/Injector.ELCE.
Hace unos meses publicamos un detallado análisis sobre Casbaneiro, un troyano bancario que afecta principalmente a países como México y Brasil y sobre el que hemos detectado actividad reciente con una campaña en la que los operadores de este troyano están aprovechando COVID-19 para infectar a los usuarios. Casbaneiro tiene la capacidad no solo de robar credenciales bancarias, sino también de minar criptomonedsa.
Según explica el especialista de ESET, Josep Albors, tras analizar una campaña distribuida a través del correo que contiene un enlace mediante el cual se invita a obtener más información sobre el coronavirus y cómo prevenir la enfermedad, el enlace descarga un instalador MSI, que como hemos explicado en artículos previos, suelen ser utilizados para descargar malware. Durante la ejecución del instalador se conecta a un servidor C&C y se descarga un ejecutable malicioso, que es ni más ni menos que Casbaneiro, el cual busca de robar información del sistema.
Por otra parte, investigadores descubrieron un ransomware oculto en una falsa aplicación para el monitoreo del coronavirus. Denominado CovidLock, esta aplicación, disponible para su descarga a través de un sitio que hace referencia a una aplicación sobre el coronavirus, ofrece un mapa de calor con datos estadísticos sobre el avance del virus en el mundo. Sin embargo, tras analizar este el dominio sospechoso, investigadores de Domaintools revelaron que la app ocultaba un ransomware para Android que bloquea a la víctima el acceso al dispositivo al cambiar la contraseña que utiliza el usuario secuestrando el teléfono. Luego despliega a la víctima un mensaje en el cual amenaza con robar y enviar la información que contiene el dispositivo a cambio del pago de $250.
En conclusión, a la preocupación que ha generado el avance del virus SARS-CoV-2, conocido bajo el nombre de la enfermedad como COVID-19, los usuarios y empresas deben estar atentos a estos engaños que crecen día a día, sobre todo en momentos como los actuales donde muchas empresas han tomado la medida de que los empleados trabajen de manera remota para permanecer en sus casas.
Cualquier información adicional que requiera con gusto podemos ayudarle.