COVID-19: los phishers prefieren AgentTesla

CERT-GIB: los phishers prefieren AgentTesla, las 3 principales cepas de malware en las campañas de phishing de COVID-19

Dilemas relacionados con la pandemia de COVID-19 que enfrentan los hackers clandestinos.

El equipo de respuesta a emergencias informáticas del Group-IB (CERT-GIB) analizó cientos de correos electrónicos de phishing relacionados con el coronavirus entre el 13 de febrero y el 1 de abril de 2020.

El spyware resultó ser la clase de malware más común que se oculta en correos electrónicos COVID-19 fraudulentos, con el agente AgentTesla superando la lista de las cepas favoritas de los phishers.

Los investigadores del Group-IB también descubrieron que el coronavirus había dividido a los piratas informáticos bajo tierra en aquellos que capitalizan la pandemia y en aquellos que se oponen firmemente a explotar la crisis.

Group-IB insta a los usuarios a mantenerse atentos y prestar mucha atención a los correos electrónicos sobre el coronavirus, especialmente ahora que la mayoría de los empleados están trabajando desde casa.

COVID-19

COVID-19

Spyware: la carga útil más probable de COVID-19

El informe de CERT-GIB se basa en análisis del tráfico de phishing relacionado con el coronavirus por el Polígono del Sistema de Detección de Amenazas (TDS) como parte de las operaciones para evitar que las amenazas se propaguen en línea.

La mayoría de los correos electrónicos de phishing relacionados con COVID-19 analizados tenían diferentes cepas de spyware incrustadas como archivos adjuntos.

AgentTesla (45%), NetWire (30%) y LokiBot (8%) fueron las familias de malware más explotadas. Con algunas diferencias menores, todas estas muestras de malware están diseñadas para recopilar datos personales y financieros.

Pueden recuperar credenciales de usuario de navegadores, clientes de correo y clientes de protocolo de transferencia de archivos (FTP), capturar capturas de pantalla y rastrear en secreto el comportamiento del usuario y enviarlo a los C & C de los delincuentes cibernéticos.

La mayoría de los correos electrónicos detectados estaban en inglés.

Los que están detrás de tales campañas relacionadas con COVID se dirigen a organizaciones gubernamentales y empresas privadas.

Los correos electrónicos fueron enmascarados como avisos, órdenes de compra, ofertas de máscaras faciales y alertas o recomendaciones de seguridad de la Organización Mundial de la Salud, UNICEF y otras agencias internacionales y empresas privadas como Maersk, Pekos Valves y CISCO.

Estas empresas de ninguna manera están involucradas en las estafas, por supuesto.

Fig. 1. Ejemplo de un correo electrónico malicioso disfrazado de «APLICACIÓN CONSEJOS COVID-19 de UNICEF» con spyware en el archivo adjunto. Fuente: CERT-GIB

Fig. 2. Ejemplo de un correo electrónico de phishing disfrazado de una oferta de máscaras gratuitas. Fuente: CERT-GIB

Los ciberdelincuentes han utilizado las siguientes extensiones de archivo para entregar muestras de malware: .gz, .ace, .arj y .rar, tres de los cuales son formatos de archivo.

Vale la pena señalar que .rar también se convirtió en el segundo formato de uso común para entregar malware archivado en el primer semestre de 2019 y representó el 25% de todos los archivos maliciosos archivados detectados por el CERT del Grupo-IB en la primera mitad de 2019.

Para engañar al software antivirus, los actores de amenazas incluyan las contraseñas para acceder al contenido en la línea de asunto del correo electrónico, en el nombre del archivo o en la correspondencia posterior con la víctima.

A menos que se empleen análisis de comportamiento, es probable que dicho malware permanezca sin ser detectado.

Hacker subterráneo dividido sobre coronavirus

Los correos electrónicos de phishing que explotan el pánico del coronavirus representaron aproximadamente el 5% de todos los correos electrónicos maliciosos detectados y analizados por CERT-GIB durante el período de revisión.

Este porcentaje relativamente pequeño puede explicarse en parte por el hecho de que no todos los ciberdelincuentes están aprovechando los temores al coronavirus.

Según los informes de los medios, algunas pandillas de ransomware han declarado que no atacarán a organizaciones médicas durante el brote.

El equipo de Inteligencia de Amenazas de Group-IB también detectó una serie de publicaciones clandestinas en foros de usuarios que instan a otros a dejar de explotar COVID-19 con fines maliciosos.

COVID-19

COVID-19

Fig. 3. Publicaciones en un foro de hackers en el que los usuarios instan a otros a que dejen de explotar COVID-19. Fuente: Inteligencia de amenazas del Group-IB

La crisis del coronavirus ha afectado a muchas economías y la economía de piratería clandestina no es una excepción.

Group-IB Threat Intelligence ha rastreado más de 500 publicaciones en foros clandestinos en los que los usuarios ofrecían descuentos de coronavirus y códigos promocionales en DDoS, spam y otros servicios para estimular la demanda, afectada por la pandemia.

Fig. 4. Publicar en un foro de hackers de un usuario que ofrece un 20% de descuento y códigos promocionales en servicios de spam y registro de dominio. Fuente: Inteligencia de amenazas del Group-IB.

Fig. 5. Publicar en un foro de hackers de un usuario anunciando descuentos en los servicios DDoS debido a la crisis causada por COVID-19. Fuente: Inteligencia de amenazas del Group-IB

El trabajo remoto aumenta la probabilidad de ataques cibernéticos.

«Las personas deberían permanecer particularmente vigilantes ahora que la mayoría de las personas están trabajando desde su casa debido a la pandemia», comenta Aleksandr Kalinin, Jefe del Equipo de Respuesta a Emergencias Informáticas del Group-IB (CERT-GIB).

«Prevemos un aumento en el número de ataques cibernéticos en redes domésticas desprotegidas utilizadas por los empleados que han cambiado a trabajo remoto a medida que el virus se propaga fuera de línea. Los equipos de seguridad corporativos deberían reevaluar su enfoque para asegurar el espacio digital corporativo fortaleciendo su perímetro, que ahora incluye los dispositivos domésticos de los empleados.

Un solo empleado que abre un archivo malicioso desde una detección no detectada El correo electrónico de phishing podría poner en peligro las operaciones de toda la empresa».

Todas las cuentas de correo electrónico de los empleados remotos, así como las VPN utilizadas para acceder a las redes corporativas, deben estar protegidas con autenticación de dos factores como mínimo.

Además, es necesario implementar soluciones de protección de red para analizar los correos electrónicos entrantes y salientes.

La segmentación de la red y la diferenciación de los derechos de acceso son necesarios.

También se recomienda que incluso la actividad del usuario remoto esté cubierta por las herramientas de seguridad perimetral de la organización.

Para apoyar a las personas que trabajan desde los equipos de seguridad del hogar y corporativos, Group-IB ha publicado una lista de recomendaciones y pautas disponibles en el portal StayCyberSafe, donde los usuarios pueden leer sobre las reglas de higiene digital para trabajar de forma remota y donde los departamentos de TI / IS pueden encontrar recomendaciones sobre cómo para establecer capacidades de trabajo remotas resistentes.

 

Por Marcelo Lozano – General Publisher IT Connect Latam