This website uses cookies. By continuing to browse this website, you accept our use of cookies and our Cookie Policy. Close
Jueves, Mar 26, 2020

Estafadores y autores de malware se aprovechan de los eventos actuales para atacar con técnicas de phishing y más

Malware Authors and Scammers Adapt to Current Events with Phishing and More

Share

Robert Neumann Senior Security Researcher
Mate Balatoni Security Researcher

Los ciberdelincuentes se caracterizan por ser oportunistas que evolucionan continuamente sus métodos de ataque. La historia nos ha demostrado que, cuanto mayor es la visibilidad global de una oportunidad de ciberataque, ya sean elecciones gubernamentales, días feriados, celebraciones religiosas, o eventos mundiales como los que vemos hoy en día, los malos actores emplean todas las herramientas a su alcance para atacar y aprovechar al máximo cada oportunidad.

Según la Organización Mundial de la Salud, los ataques por correo electrónico que se hacen pasar por ellos se han duplicado desde principios de marzo. Este es solo uno de muchos ejemplos de ataques cibernéticos en la actualidad en los que se simula ser una organización global confiable, mientras que cada país en el mundo trata de seguir adelante durante estos tiempos sin precedentes.

Aprovechando al máximo los eventos mundiales, hoy observamos tendencias de ciberatacantes inclinándose hacia la ingeniería social y que utilizando palabras clave que están en boca de todos como Coronavirus y COVID-19 para ejecutar estafas en línea, phishing y ataques de malware.

A continuación, se presenta una descripción general de las tendencias recientes de ciberataques globales que Forcepoint ha estado siguiendo para que los usuarios tengan una idea de qué buscar y cómo protegerse contra inminentes ciberataques que aprovechan la situación global actual.

Phishing Estándar

Las campañas relacionadas con el phishing tienen una meta principal: engañar a las personas para que ingresen sus datos personales o credenciales valiosas en una aplicación falsa o en un sitio web que parece "legítimo". Nuestro primer caso bajo análisis pretende ser una llamada perdida sobre una actualización de COVID-19. El correo electrónico no contiene texto en el cuerpo del mensaje, sino un archivo adjunto con una extensión ".htm".

Figure 1 – Missed call email example

En una mirada más profunda, el archivo adjunto es de hecho un archivo HTML simple con el único propósito de dirigir a las personas a una URL sospechosa.

Figure 2 – HTML attachment of the missed call email

El título de la ventana mostrará "Obteniendo su archivo de audio" mientras se carga la página web, y pronto encontraremos un falso portal de Outlook. El nombre de usuario ya estará completado, solo la contraseña está esperando para ser ingresada. A pesar de todas las similitudes, no estamos tratando con un portal oficial de Outlook, debemos observar a detalle la URL extraña en el archivo adjunto HTML con la dirección de correo electrónico preparada. Se recomienda siempre verificar la página web en la que estamos antes de ingresar cualquier información confidencial.

Figure 3 – Fake Outlook landing page with pre-filled username

Diferentes tipos de Spam tradicional

Especular con las supersticiones y el miedo de las personas no es una técnica reciente, especialmente en momentos como el que atravesamos, un evento global serio con un impacto de gran alcance en las comunidades de todo el mundo. El asesoramiento oficial, semioficial y no oficial proviene de todas las direcciones posibles, junto con una serie de engaños.

  • ¿Cómo fortalecer nuestro sistema inmunológico?
  • ¿Qué pasos debemos seguir para prevenir la infección?
  • ¿Cuáles son las formas naturales de protegernos?
  • ¿Cuáles son las mejores máscaras para usar cuando viajas?

Figure 4 – Example of Coronavirus related spam

La mayoría de estas preguntas son válidas, sin embargo, las respuestas pueden variar ampliamente y es fácil prestar atención a información y consejos. Algunas de las campañas de Spam recientes se centran particularmente en esta técnica. Contienen enlaces a sitios web y servicios falsos o alientan a las personas a comprar un producto específico que se supone que ayuda a proteger contra el Coronavirus o COVID-19.

Figure 5 – Face mask advertisement spam

En caso de no estar seguros, se debe buscar productos similares de marcas con buena reputación y en sitios web en el que se haya comprado con anterioridad. Corroborar información a través de fuentes de salud oficiales como la OMS o los Centros de Control y Prevención de Enfermedades. De esta manera se puede acreditar o desacreditar lo que es real y lo que puede ser perjudicial para la salud.

Figure 6 – Example of Health Improvement spam

Nuevo lanzamiento para las familias de malware existentes

Los ejemplos anteriores son del tipo que genera menor daño. A pesar de que este tipo de ataque podría parecer el más auténtico, lleva el potencial de daño a un nivel superior. El correo electrónico estuvo dirigido a personas en Italia, supuestamente durante el tiempo en que los casos reportados en el país continuaron aumentando. Alienta al usuario a la apertura del documento adjunto que parece haber sido enviado por la OMS con información que invita a tomar todas las precauciones necesarias contra la infección por Coronavirus.

Figure 7 –fake WHO precautions email targeted towards Italians

Al abrir el documento adjunto de Microsoft Word, se mostraba la siguiente pantalla, pidiéndole a los usuarios que siguieran los pasos para habilitar las macros, a menos que la configuración de seguridad predeterminada relacionada con ellos hubieran sido modificada.

Figure 8 – Malicious Word attachment asking for macros to be enabled

Hay varias macros en el documento y también están protegidas por una contraseña para evitar la edición. Afortunadamente, eso se puede solucionar, así que echemos un vistazo a la famosa apertura automática.

Figure 9 – Content of the autoopen macro

Existe el “Debug Class Handler” definido en la macro de auto apertura que se ejecutará automáticamente al abrir el documento. Investigándolo más a fondo revela rápidamente la descarga de dos archivos: "errorfix.bat" y "Ranlsojf.jse". El primero es un archivo batch file estándar destinado a abrir el segundo con la ayuda del intérprete de scripts incorporado en Windows.

Figure 10 – Source code of DebugClassHandler

Como se esperaba, el "Ranlsojf.jse" descargado es de hecho un archivo de script, en realidad un JavaScript complejo y muy ofuscado. Por lo general, se conoce como la familia de Ostap downloader, conocida por sus fuertes lazos con TrickBot.

Figure 11 – Part of Ostap’s obfuscated JavaScript code

Al final de la ejecución, el código JavaScript llegará a un servidor C2 predefinido para descargar más archivos útiles. En este caso, era una variante del malware infostealer TrickBot.

Conclusión

Bajo un período prolongado de estrés, como una pandemia mundial, la ansiedad y la desesperación pueden hacernos bajar la guardia fácilmente cuando de amenazas en línea se trata. Los ciberdelincuentes explotan estos momentos al jugar con el miedo de las personas con la esperanza de que caigan en sus estafas cuidadosamente elaboradas. Cada vez que se reciben correos electrónicos relacionados con eventos de la vida real, debemos permanecer atentos y tomar el tiempo para considerar su autenticidad. Al practicar la vigilancia de seguridad, diariamente, podemos mitigar el impacto que los ciberatacantes pueden tener durante los eventos globales porque ya estaremos buscando sus engaños.

Las herramientas, técnicas y procedimientos del atacante siguen siendo en gran medida los mismos; solo el tema del señuelo ha cambiado para alinearse con los eventos actuales. Si se mantiene actualizado, sus herramientas de seguridad web y de correo electrónico deberían seguir siendo efectivas contra estos ajustes en un panorama de amenazas.

Declaración de protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas de ataque:

  • Etapa 2 (Lure): Los correos electrónicos maliciosos asociados con estos ataques se identifican y bloquean.
  • Etapa 6 (Call Home): Se bloquean los intentos de contactar con los servidores de command-and-control.

IOCs

hxxps://cubanananananana.blob.core.windows[.]net/

hxxp://track.ljmzf[.]com/aff_c?offer_id=9801&aff_id=6258&aff_sub=SW16M

hxxps://offerhub[.]buzz/

hxxp://www.aloofdorm[.]icu/

hxxps://194.87.96[.]100/1/1.php

About the Authors

Robert Neumann

Senior Security Researcher

Robert Neumann is a Senior Security Researcher in Forcepoint X-Labs. He focuses on various short- and long-term research projects, ranging from small scale malicious campaigns through niche malware and file formats to in-depth investigations and threat actor attribution. 
 
Robert is...

MB

Mate Balatoni

Security Researcher

Mate Balatoni is a Security Researcher in Forcepoint X-Labs.