Negocios como de costumbre: actividades delictivas en tiempos de una pandemia mundial

El comienzo de 2020 ha sido espantoso para la mayoría de las partes del mundo afectadas por la enfermedad del Coronavirus 2019 (COVID-19). Esto provocó un cambio en la vida cotidiana de todas las personas en todos los países que se esfuerzan por mantener sus tareas diarias y, al mismo tiempo, evitan una mayor infección. Dada esta situación, las empresas y las escuelas han optado por la transición a un «entorno virtual » en el que se puede realizar un trabajo de forma remota y se pueden realizar discusiones en la escuela y reuniones de oficina a través de conferencias telefónicas utilizando aplicaciones como Zoom, Skype o Microsoft Teams. Ha habido un aumento en la demanda de plataformas para conferencias de video y audio, chat y soluciones de seminarios web.

Este trastorno creó oportunidades para los ciberdelincuentes, ya que explotan estas situaciones para ejecutar sus intenciones maliciosas. Esta no es la primera vez que los ciberdelincuentes se aprovechan de los eventos actuales y significativos para atraer a más víctimas, ya que hubo casos de los últimos años que muestran cómo utilizan estos eventos para difundir malware. Un ejemplo de ello fue la Copa Mundial de la FIFA 2018, en la que los ciberdelincuentes crearon un sitio web falso de socios de la FIFA para obtener acceso a las cuentas bancarias de la víctima y colocar un archivo malicioso en la máquina de la víctima.

Ejemplo de correo electrónico no deseado de la Copa Mundial de la FIFA 2018.

Correos electrónicos de phishing relacionados con COVID-19

Con el aumento en el número de personas infectadas por COVID-19 en todo el mundo, los ciberdelincuentes se esfuerzan por aumentar la cantidad de correos electrónicos no deseados y enlaces de phishing relacionados con COVID-19 que también proliferan en el mundo cibernético. Incluso hicieron que sus ataques cibernéticos fueran más diversos de manera que no solo envían correos electrónicos no deseados con archivos adjuntos maliciosos, sino que también crearon sitios web falsos con contenido falso relacionado con COVID-19 para que las víctimas accedan libremente, como coronavirus-map [.] Com (el sitio web ya está disponible). inalcanzable en el momento de escribir este artículo). Algunos de estos sitios web falsos contienen información falsa sobre las estadísticas mundiales actuales de casos de COVID-19.

Si bien algunos ciberdelincuentes eligen explorar nuevas formas con su enfoque para perseguir sus delitos cibernéticos, algunos optan por continuar con las viejas formas, como los correos electrónicos no deseados, pero con contenidos mejorados para que sus ataques sean más exitosos.

Copia de un mapa de calor de infección legítimo, utilizado por los ciberdelincuentes en sus sitios web falsos (julio de 2020).

Al igual que los correos electrónicos no deseados de la Copa Mundial de la FIFA 2018, los ciberdelincuentes usan y abusan de COVID-19 como tema de los correos electrónicos no deseados que estaban enviando. Se nota en los siguientes dos correos electrónicos de muestra a continuación con diferentes contenidos e idiomas utilizados. Es una de las innovaciones que hacen los ciberdelincuentes para hacer que sus correos electrónicos no deseados se adapten más a sus objetivos, lo que aumenta las posibilidades de un ataque exitoso.

El primer correo electrónico está dirigido a personas de habla inglesa, mientras que el segundo correo electrónico está dirigido a cualquier persona que pueda entender el italiano. A primera vista, puede parecer que estos dos correos electrónicos son diferentes considerando el idioma utilizado, los asuntos del correo electrónico y el contenido de su mensaje. Pero podemos notar que ambos correos electrónicos contienen un archivo adjunto.

Ejemplo de una campaña de correo electrónico relacionada con COVID19 en inglés.

Ejemplo de una campaña de correo electrónico relacionada con COVID19 en italiano.

Archivos adjuntos

Se dice que el archivo adjunto al primer correo electrónico es una lista de las víctimas de COVID-19. Sin embargo, al analizar el archivo, se puede identificar fácilmente como un archivo que contiene un archivo ejecutable: LIST.exe. Esta es una señal de alerta ya que un archivo que dice ser un archivo de texto, es un archivo que contiene un archivo ejecutable. El archivo adjunto del segundo correo electrónico parece un archivo habitual, pero también contiene un archivo ejecutable.


Un análisis más detallado muestra que los archivos ejecutables maliciosos de los archivos extraídos son archivos asociados con una familia de malware conocida llamada GuLoader, que existe desde mucho antes de COVID19. GuLoader es un malware conocido que descarga su carga útil de servicios en la nube como Google Drive y Microsoft Drives. Luego se usa para descargar un troyano de acceso remoto (RAT), un programa malicioso que incluye una puerta trasera para el control administrativo de la computadora de destino. En este caso, considerando que los archivos que analizamos provenían de dos correos electrónicos diferentes con dos objetivos distintos, los archivos adjuntos eran idénticos, los cuales terminan descargando un Parallax RAT.

Un análisis más detallado muestra que los archivos ejecutables maliciosos de los archivos extraídos son archivos asociados con una familia de malware conocida que existe desde mucho antes de COVID19: GuLoader es un malware conocido que descarga su carga útil de servicios en la nube como Google Drive y Microsoft Drives. . Luego se usa para descargar un troyano de acceso remoto (RAT), un programa malicioso que incluye una puerta trasera para el control administrativo de la computadora de destino. En este caso, considerando que los archivos que analizamos provenían de dos correos electrónicos diferentes con dos objetivos distintos, los archivos adjuntos eran idénticos, los cuales terminan descargando un Parallax RAT.

Adjunto de correo electrónico – Archivo RAR.

Parallax RAT está siendo considerado como el «nuevo RAT en el bloque» que tuvo su primera aparición en diciembre de 2019. Es un tipo de RAT que puede funcionar en todas las versiones del sistema operativo Windows, capaz de omitir detecciones, robar credenciales y ejecutar comandos como agarrar pulsaciones de teclas y capturas de pantalla. Este es un nuevo RAT que se ofrece como MaaS (Malware-as-a-Service) y se ha convertido en el favorito entre los delincuentes de malware, ya que se vende en el mercado negro por tan solo $ 65 con la promesa de una confiabilidad del 99% para el servicio que brinda.

Controlar el backend de Parallax RAT

Mientras verificamos nuestras estadísticas de telemetría de los últimos 6 meses con 58,524 muestras de malware, además de Parallax, hay varias otras familias de malware que aprovechan las noticias relacionadas con COVID-19 para atraer a un gran número de víctimas potenciales a abrir archivos adjuntos de origen desconocido. Estas familias de malware, la mayoría de las cuales son RAT como Remcos, Nanocore, Netwire, Agent Tesla y otros troyanos, que van desde el menos destructivo al más destructivo, se distribuyen incesantemente a través de diversos medios, como correos electrónicos no deseados o como un archivo descargable de sitios web engañosos.

Estadísticas de telemetría de RAT que utilizan noticias relacionadas con Covid-19 para propagarse.

Malware típico durante la pandemia

Durante el tiempo de una crisis de salud global, las RAT son las herramientas más utilizadas que se encuentran en los correos electrónicos maliciosos. Esas RAT siguen un patrón distintivo. Hemos examinado más de cerca a algunos de los proponentes.

Rutina general de propagación de RAT

Remcos

Remcos fue visto por primera vez en la naturaleza en la segunda mitad de 2016 siendo promocionado como una RAT comercializada al precio de $ 58 a $ 389. Se utilizó por primera vez en campañas de spear phishing dirigidas a organizaciones turcas. Actualmente, lo vende una empresa alemana llamada ‘Breaking Security’ [ 2] y su sitio web lo anuncia como un software de vigilancia y control remoto potente y legítimo que se puede utilizar para acceder a ordenadores en cualquier parte del mundo.

La tendencia actual de las campañas de malware Remcos involucró a los autores de malware que aprovechaban las noticias nuevas y de moda en todo el mundo para sus correos electrónicos de phishing. Estos correos suelen tener un archivo adjunto en formato PDF. Una vez abierto, este PDF contiene un cuentagotas Remcos RAT que ejecuta un VB Script que a su vez ejecutará el malware. Para garantizar la persistencia, se agrega una clave de inicio al registro.

La GUI de Remcos RAT

Alias:

  • RemcosRAT
  • Remvio

Otras líneas de referencia utilizadas en campañas anteriores:

  • «Re: nCoV: Brote de coronavirus y medidas de seguridad en tu ciudad (Urgente)».
  • Subvenciones para pequeñas empresas / Vales para centros de pruebas
  • Vales de subvenciones / centros de pruebas de la SBA
  • Estado del programa de protección de nómina de la SBA

AGENTE TESLA

AgentTesla se vio por primera vez en 2014 y durante la pandemia se ha utilizado en ataques dirigidos a empresas de energía. Este puede haber sido uno de los efectos de la pandemia donde hay una baja demanda de petróleo. Antes de la pandemia, el Agente Tesla era el instrumento preferido para los ataques contra la industria petrolera. Dado que el Agente Tesla también es un malware comercial que se puede comprar en la Dark Web, tiene una función que le permite monitorear o personalizar la carga útil y monitorear su víctimas objetivo.

AgentTesla ha sido modificado para ser un RAT avanzado que también puede funcionar como un registrador de teclas y un ladrón de información que puede robar las credenciales de Microsoft Outlook de la víctima y otras contraseñas guardadas en navegadores web como Google Chrome, Internet Explorer y Mozilla Firefox.

Lo que distingue a AgentTesla de otras RAT es su característica adicional de robar perfiles Wifi. Los actores de malware utilizan esta funcionalidad al usar WiFi como un mecanismo para propagar la infección a través de diferentes puntos finales, así como también como puerta de entrada para futuros ataques a la máquina de la víctima.

Alias:

  • AgenTesla
  • AgenteTesla

Otros asuntos de correo electrónico utilizados por AgentTesla RAT al enviar correos electrónicos de phishing:

  • CARTA DE INFORMACIÓN URGENTE: PRIMERA PRUEBA / RESULTADO DE LA VACUNA COVID-19 HUMANA
  • ACTUALIZAR Covid19 ″ Últimos consejos para mantenerse inmune a los virus !!
  • «Organización Mundial de la Salud /Luchemos juntos contra el virus Corona»
  • «Atención: Listado de Empresas Afectadas por Coronavirus 02 de marzo de 2020».

 

NANOCORE

Nanocore se vio por primera vez en estado salvaje en 2013. Su autor Thoms Huddleston, alias AeonHacks , admitió haber desarrollado y comercializado NanoCore en DarkWeb entre 2012 y 2016. Fue arrestado, pero esto no detiene la propagación de su creación. Se mantuvo vivo y se actualizó desde entonces. La nueva versión de NanoCore se vendía en mercados subterráneos por tan solo $ 25. Algunas características incluyen vigilancia remota, conexión de proxy inverso, complementos e incluso soporte al cliente.

Interfaz gráfica de usuario de Nanocore RAT

Nanocore es una RAT sofisticada que permite a los atacantes obtener acceso a detalles de la máquina de la víctima, como el nombre de host y el sistema operativo. Esto, a su vez, permitirá a los ciberdelincuentes realizar más actividades maliciosas en la máquina de la víctima, como secuestrar la cámara web y el micrófono, robar información confidencial y más.

Lo que distingue a esta RAT de otras RAT es lo difícil que es detectarla. A diferencia de otras RAT diseñadas para ejecutarse de una manera específica, la mayor parte de su comportamiento fue similar al de las aplicaciones legítimas. Nanocore permite a los actores de malware hacer lo que quieran, una vez que obtienen acceso a una máquina víctima

Código fuente de Netwire RAT

Netwire

NetWire RAT es una herramienta maliciosa que surgió en estado salvaje durante la primera mitad de 2012. Netwire se hizo famosa como una RAT oculta en un archivo IMG (una extensión de archivo utilizada por el software de imágenes de disco). Desde entonces ha sufrido diversas modificaciones que hacen que siga siendo sigiloso con el paso de los años. Al igual que otras RAT, NetWire RAT se ofrece comercialmente y se puede comprar fácilmente en los mercados de la Dark Web, lo que lo hace accesible a los autores de malware.

Captura de pantalla del mensaje del ciberdelincuente a la víctima

Alias:

  • Nancrat
  • NanoCore

Otros asuntos de correo electrónico utilizados por Nanocore RAT al enviar correos electrónicos de phishing:

  • «Medidas de precaución urgentes Covid-19»
  • «Actualización del coronavirus:operaciones en China»
  • «Fwd: Re: Información de CoronaVirus Express»

 

Varios limpiadores / malware que modifica MBR

Los limpiaparabrisas aparecieron por primera vez en 2008 cuando Narilam, un malware de limpiaparabrisas, se utilizó para atacar software comercial y financiero en Irán. Los limpiaparabrisas son programas maliciosos que causan la destrucción de datos en su máquina víctima. A diferencia de otros programas maliciosos cuyo objetivo es obtener algún tipo de beneficio económico, la principal motivación de los limpiaparabrisas es destruir todos sus archivos / directorios específicos en un sistema o reemplazar el contenido de su objetivo con un contenido malicioso. A medida que evolucionaron los limpiadores, los autores de malware decidieron ajustar la funcionalidad de los limpiadores y hacer que este tipo de malwares se reescriban en registros de arranque maestros (MBR).

Actualmente, un “Coronavirus.exe” [3] se está extendiendo entre los usuarios de Windows. El nombre de este malware está muy relacionado con la pandemia de COVID-19. Al principio, este malware colocará varios archivos auxiliares ocultos y archivos por lotes en una carpeta temporal en el sistema informático. Luego, aunque aún pasa desapercibido, deshabilitará el Administrador de tareas de Windows y el Control de acceso de usuarios y se colocará dentro del registro de inicio. Por último, al reiniciar la máquina de la víctima, aparece un cuadro de mensaje emergente que le dice a las víctimas que «no pierdan [sic] su tiempo» porque «no pueden terminar este proceso». se ejecutará y no se cancelará porque el administrador de tareas se deshabilitó. Mientras tanto, el MBR original se sobrescribe con un nuevo código malicioso.

Otra variante de este malware modificador de MBR fue descubierta por uno de nuestros analistas [4] que al principio puede parecer un simple bloqueador de pantalla, pero desconocido para el usuario, es también un malware que infecta el MBR.

Es posible que este tipo de malware no sea tan destructivo como los malwares anteriores que hemos citado, pero puede inducir a error al usuario a pensar que algo anda mal en su sistema. Un jokeware temático de COVID-19 mostrará un cuadro de mensaje que dice «CoronaVirus ha dejado de funcionar» cuando se ejecuta. Es muy probable que esto cause alarma en muchos usuarios y les haga pensar que algo anda mal con sus computadoras, cuando en realidad todo está bien y el sistema nunca estuvo en peligro para empezar. Los jokewares pueden ser la menor de nuestras preocupaciones relacionadas con los malwares COVID-19 que circulan por el mundo cibernético en este momento, pero es mejor prevenir que lamentar. Puede resultar un poco molesto para algunos, pero tiene el potencial de poner a una organización en un «modo de control de daños» total y causar algún nivel de interrupción.

En cuanto al modo de entrega del malware, hay una cosa que se destaca:
aunque los autores de malware se aprovechan de los eventos actuales en todo el mundo, la mayoría de los archivos maliciosos que comúnmente adjuntan a los correos electrónicos no deseados forman parte de programas bien establecidos familias de malware conocidas que tienen una alta tasa de infección y disfrutan de un amplio soporte y una gran base de usuarios dentro de la comunidad clandestina.

Alias:

  • NetWeird
  • NetWire
  • Recam

Otros asuntos de correo electrónico utilizados por Netwire RAT al enviar correos electrónicos de phishing:

  • Malspam afirma ser del Dr. Stella Chungong de la OMS

Conclusión

Al igual que en el mundo real, con el lavado de manos adecuado, el uso de máscara y el distanciamiento social, podemos evitar ser víctimas de este tipo de ataques en el mundo cibernético, practicando y compartiendo una ciber-higiene adecuada como:

  1. Evite abrir correos electrónicos, descargar archivos adjuntos y hacer clic en enlaces de remitentes no solicitados.
  2. Deshabilitar la edición de macros en su configuración de oficina de Microsoft.
  3. Tenga siempre un AV actualizado para su protección.

Si bien todavía estamos buscando una vacuna que pueda curar el COVID-19 en el mundo real, cyberworld, por otro lado, tiene su ‘vacuna’ contra estos archivos maliciosos, que es la creación de detecciones avanzadas para identificar posibles amenazas y prevenir una mayor infección. Al igual que la última tecnología DeepRay de G Data que utiliza inteligencia artificial y aprendizaje automático para contrarrestar ataques sofisticados de los ciberdelincuentes. Esta ‘vacuna’ en el mundo cibernético es lo que ayudará a todas las personas y organizaciones a prosperar con su trabajo y estudios a pesar del cambio en sus normas diarias.

Indicadores de compromiso

GuLoader

11a834cda4a55c8adb663fbcdd4b1f1018715dd737d3089a731b9840b77e5e76:

Detectado como Win32.Trojan.Agent.YIZBCK

Remcos

73c07d1b17e8224996866c53ac95c9c327a1b88f78bef72852ca250016d06c33:

Detectado como Trojan.GenericKD.30581682

Detección de DeepRay: RemcosRAT

Paralaje

0a689281e5c807412fd9fca5f4a2d02f90e149da1ecc16179a09d88fa88eed74

Detectado como Win32.Packed.Kryptik.WP03OZ

Detección de DeepRay: ParallaxRAT

NanoCore

2add0397fccd1c5cfe522530d20e672c47e6259ea625a3338845b1383272c23e:

Detectado como Gen: Variant.MSIL.Lynx.52,

Detección de DeepRay: Nanocore

Netwire

cdd2e26792bd7ee81a6297d13dd514836778620c9bd96e79ae6ee26239c546b1

Detectado como Win32.Trojan.Netwire.C

AgenteTesla

484aa9b06abff6b8b07695522b81fc70a8163f466b2aee2076481fab3e57840e:

Detectado como Trojan.GenericKD.41932285

Detección de DeepRay: AgentTesla

Malware Wiper / MBR-Rewriting

fba31181ed1957e81c452fa1e860414d3a2bd2da470074a32f196f873a37d9ad

Detectado como Trojan.GenericKD.33570587

Jokeware

6b61c223d618ead7ca78f4731a0128e30bf602bdfe8d940e442041486cb2fe76

Detectado como Gen: Heur.Bodegun.1

https://www.gdatasoftware.com/blog/global-pandemic-remcos-tesla-netwire

Autor: Blog de GDATA