COVID-19, atacantes usan la pandemia como excusa para esparcir malware y realizar diversos ciberataques

[vc_row][vc_column][vc_column_text]

Autora: Gabriela Peralta Díaz, Cyber Intelligence Analyst 

El pasado 16 de marzo de 2020 la Organización Mundial de la Salud declaró el estado de pandemia a causa del COVID-19, debido a la magnitud de este acontecimiento diversos actores han aprovechado esta situación para ejecutar campañas de ciberataques que tomen ventaja del pánico actual de la población.

Diversas compañías como Airbnb han tenido casos de sitios phishing donde los atacantes intentan obtener datos de la cuenta de los usuarios, aprovechando las cancelaciones de viajes y estados de cuarentena de distintas ciudades.

[/vc_column_text][vc_single_image image=”881″ img_size=”medium” alignment=”center” css=”.vc_custom_1585325134628{margin-bottom: -5% !important;}”][vc_column_text]

.

Imagen 1. Login al sitio phishing hxxps://airbnb.id-covid19[.]com/update/login.php

Otras actividades están orientadas a obtener información personal a través de mensajes de texto, estos casos han ocurrido recientemente en Canadá por lo que el Gobierno de aquel país ha pedido hacer uso solo de canales oficiales.

[/vc_column_text][vc_single_image image=”883″ img_size=”large” alignment=”center” css=”.vc_custom_1585327439163{margin-bottom: -5% !important;}”][vc_column_text]

.

Imagen 2. Aviso de la Unidad de Cibercrimen de la Policía de Vancouver

También se ha identificado descarga de malware bancario desde sitios “informativos” que se hacen pasar por el Gobierno de Canadá. Muchos de estos archivos son aplicaciones móviles para visualizar mapas en tiempo real o estadísticas.

[/vc_column_text][vc_single_image image=”884″ img_size=”large” alignment=”center” css=”.vc_custom_1585325531122{margin-bottom: -5% !important;}”][vc_column_text]

.

Imagen 3. Descarga de aplicaciones móviles desde sitios que se hacen pasar como informativos. Fuente: Twitter.

Además, se han encontrado múltiples registros de dominios con la palabra “covid” y “corona”, los cuales en un futuro pueden ser utilizados para la propagación de archivos maliciosos.

[/vc_column_text][vc_single_image image=”886″ img_size=”medium” alignment=”center” css=”.vc_custom_1585326186286{margin-bottom: -5% !important;}”][vc_column_text]

.

Imagen 4. Nuevos sitios con las palabras “covid” y “corona”. Fuente: Twitter

Actualmente se encuentran registrados 37,740+ sitios con la palabra “corona” y 26,410+ con la palabra “covid” desde el 1 de enero de 2020, todos estos dominios los puedes consultar aquí.

[/vc_column_text][vc_custom_heading text=”Actualización de MISP” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

Debido al creciente uso de la pandemia para el esparcimiento de malware, en días recientes el MISP ha anunciado la creación de dos nuevas taxonomías dentro de su plataforma, con la finalidad de compartir información médica y cibernética sobre el COVID-19.

Estas taxonomías son en eventos actuales (“current events”) y una categoría especial llamada “pandemic” que se encuentran en formato JSON en GitHub en los siguientes links:

En la siguiente tabla se muestran el uso de estas taxonomías para la difusión de información respecto al COVID-19.

[/vc_column_text][vc_single_image image=”905″ img_size=”large” alignment=”center” css=”.vc_custom_1585336647537{margin-bottom: -5% !important;}”][vc_column_text]

.

Tabla 1. Taxonomías agregadas por el MISP asociadas al COVID-19

[/vc_column_text][vc_custom_heading text=”Campañas maliciosas que aprovechan el nombre de la pandemia.” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

En plataformas como AnyRun se ha habilitado el tag “covid19” para explorar distintas muestras y URLs que diferentes usuarios han subido para su análisis. En este enlace podrás revisarlos: https://app.any.run/submissions/#tag:covid19

[/vc_column_text][vc_single_image image=”892″ img_size=”large” alignment=”center” css=”.vc_custom_1585327806212{margin-bottom: -5% !important;}”][vc_column_text]

.

Imagen 5. Análisis realizados en AnyRun con el tag “covid19”

Al agregar una URL o archivo para su análisis en la parte de tags, se puede ingresar una cadena “covid19”, para su identificación.

[/vc_column_text][vc_single_image image=”893″ img_size=”large” alignment=”center” css=”.vc_custom_1585327923744{margin-bottom: -5% !important;}”][vc_column_text]

.

Imagen 6. Agregar un tag a análisis en AnyRun

Estos son algunos ejemplos de cientos que amenazan el ciberespacio. Es indispensable revisar si el sitio al que estamos ingresando es seguro y analizar con un antivirus cualquier aplicación, así como estar actualizados acerca de los ciberataques que vayan surgiendo.

Silent4Business está comprometido en informar a la población en general acerca de los eventos más recientes relacionados con esta situación a través de nuestras redes sociales, síguenos.

[/vc_column_text][/vc_column][/vc_row]