24 de abril de 2020
Última actualización el 24 de abril de 2020. Publicado originalmente el 6 de marzo de 2020. Título anterior: Coronavirus Utilizado en Spam, Archivos de Malware y Dominios Maliciosos
[hr toptext=”” size=”” custom_size=”2″ hide_mobile_hr=”false”]
COVID-19 está siendo utilizado en una variedad de campañas maliciosas incluyendo spam de correo electrónico, BEC, malware, ransomware y dominios maliciosos. Conforme el número de aquellos afectos continúa incrementando por miles, el número de campañas que usan la enfermedad como señuelo también incrementan. Los investigadores de Trend Micro están buscando continuamente muestras de campañas maliciosas relacionadas con COVID-19. Este reporte también incluye detecciones de otros investigadores.
La mención de los eventos actuales en ataques maliciosos no es algo nuevo para los actores maliciosos, quienes a menudo utilizan temas, ocasiones actuales y personalidades populares en sus estrategias de ingeniería social.
Actualización al 24 de abril
Trend Micro Research analizó recientemente un malware temático del coronavirus que anula el Master Boot Record (MBR) de un sistema, haciendo que no pueda reiniciarse. Detalles sobre el malware fueron publicados en un reporte público publicado por la agencia de ciberseguridad de la República Checa (NUKIB). El malware tiene “Coronavirus Installer” en su descripción.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM-BLOG_April-24-Fig-1.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”762″ height=”582″]
Detalles del archivo de malware
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM-BLOG_April-24-Fig-2.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”733″ height=”613″]
Lockscreen del malware
Cuando se ejecuta el malware, automáticamente reiniciará la máquina y entonces mostrará una ventana temática del virus que no puede cerrarse. El botón usual de salida en el lado superior derecho no funciona.
Hacer click en el botón de “Ayuda” en el lado inferior izquierdo activará un mensaje pop-up notificando al usuario que no se puede iniciar el Task Manager. El botón de “Remove virus” en el lado inferior derecho parece ofrecer una solución, pero no se puede hacer click en él. El botón no funciona aun cuando uno está conectado a internet.
El malware también crea un folder oculto llamado “COVID-19”, el cual contiene varios módulos secundarios. Reiniciar manualmente el sistema ejecutará otro archivo binario y mostrará la pantalla gris a continuación.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM-BLOG_April-24-Fig-3.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”692″ height=”202″]
Contenidos del folder COVID-19
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM-BLOG_April-24-Fig-4B.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”695″ height=”381″]
Pantalla gris mostrada una vez que se reinicia la máquina
El malware respalda el MBR original y coloca el texto “Creado por Angel Castillo. Tu Computadora Ha Sido Destrozada” en la pantalla del dispositivo. También deja detalles de contacto de Discord, insinuando que la víctima debe comunicarse con el hacker para encontrar una solución.
El ransomware típicamente le ofrece a sus víctimas detalles para la transferencia de fondos, con una cantidad específica y una wallet de criptomonedas para que la víctima pueda depositar el dinero. Sin embargo, casos de estudio recientes han encontrado que muchos distribuidores de malware han comenzado a usar Discord para dar instrucciones específicas a sus víctimas.
Muchos atacantes simplemente borran el MBR al principio del proceso, por lo que este método parece complicarse demasiado. El archivo “Update.vbs”, el cual suelta el módulo secundario, nos da una pista de por qué su creador diseñó el proceso de esta manera. El archivo VBS mostrará una ventana con texto indicando que el usuario necesitará una conexión a internet (a menudo mostrada dos minutos después de que aparezca la pantalla gris).
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM-BLOG_April-24-Fig-5.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”801″ height=”473″]
Pantalla pidiendo al usuario que se conecte a internet
Es posible que se hallan agregado más pasos para que el usuario se conecte a internet, posiblemente porque la víctima necesita estar en línea para que el MBR pueda anularse. El MBR no fue anulado durante el reinicio manual en un ambiente cerrado y offline.
Trend Micro Research también analizó un archivo HTA malicioso temático del coronavirus, posiblemente del grupo APT SideWinder. Basado en la infraestructura comando y control y su conexión con el ejército de Paquistán, es posible que SideWinder está usando el coronavirus como señuelo. SideWinder es un grupo activo conocido por dirigir sus ataques a entidades militares; su última actividad de importancia conocida fue en enero cuando encontramos evidencia de que estaban detrás de aplicaciones maliciosas encontradas en Google Play.
Este archivo HT contenía un señuelo pop-up que mostraba títulos clickbait e imágenes del ejército paquistaní. Se le vinculó a estos URLs maliciosos (bloqueados por Trend Micro):
- hxxp[://www.d01fa[.net/plugins/16364/11542/true/true/
- hxxp[://www.d01fa[.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta
- hxxps[://cloud-apt[.net/202/6eX0Z6GW9pNVk25yO0x7DqKJzaNm6LIRaR0GCukX/16364/11542/2a441439
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM-BLOG_April-24-Fig-6a.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”589″ height=”418″]
Screenshot del señuelo
[hr toptext=”” size=”” custom_size=”2″ hide_mobile_hr=”false”]
Leave a Reply