Crecen el spam y los dominios maliciosos relacionados con el COVID-19

La Pandemia del COVID-19 ha despertado un enorme interés entre los usuarios, trabajadores y empresas por la propia enfermedad y por otras muchas cuestiones, desde la situación de confinamiento y cese de actividades que se produce en muchos países, hasta sus consecuencias económicas. Por eso, los datos de Google Trends muestran que las búsquedas en todo el mundo se multiplicaron hasta alcanzar su máximo valor (100) el pasado 15 de marzo.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Este enorme interés ha sido aprovechado por los ciberatacantes como gancho de campañas maliciosas, que en muchos casos recurren a técnicas de ingeniería social para engañar a los empleados de las organizaciones. Así lo refleja el informe de Cytomic “Ciberataques instrumentalizando el COVID-19 “, basado en el análisis de cientos de detecciones de malware llevadas a cabo por su laboratorio entre el 12 y el 25 de marzo.

El estudio ha desglosado varios tipos de campañas. Por un lado, el equipo de analistas ha examinado mensajes de spam, muchos de los cuales tiene como remitente a organizaciones oficiales y en apariencia, contienen actualizaciones y recomendaciones relacionadas con la enfermedad. Pero como la mayoría de los ataques que utilizan el correo electrónico como vector, también incluyen archivos adjuntos maliciosos. En este sentido, los laboratorios de Cytomic han observado que suelen contener un dropper que descarga un binario en la ubicación del sistema C:\Users\user\AppData\Local\Temp\qeSw.exe y bajo el hash 258ED03A6E4D9012F8102C635A5E3DCD.

Entre los ejemplos de este spam cabe destacar campañas como “Últimas actualizaciones del Coronavirus”, que fue detectada en el Reino Unido, y en la que el correo electrónico viene con un archivo adjunto en formato.dat que contiene un malware; “Coronavirus: información importante sobre precauciones”, dirigida a usuarios italianos, con un archivo adjunto que contiene un troyano; y “Exclusiva: Vacuna para el Coronavirus detectada”, lanzada en Portugal, que incluye un enlace a una web que contiene el malware.

Por otro lado, el laboratorio de Cytomic también ha detectado un aumento notable en los nombres de dominio que usan la palabra “corona” combinada con palabras que también suelen utilizar los usuarios en sus búsquedas orgánicas, tales como “vacuna” o “emergencia”. Cabe mencionar dominios como acccorona [.] com, alphacoronavirusvaccine [.] com, beatingcoronavirus [.] com, corona-crisis [.] com o corona-emergencia [.] com.

Según Cytomic, la principal línea de defensa contra estos ciberataques siempre la constituye la prevención, a través de la concienciación de los riesgos entre los empleados de la organización. Es por ello que conviene que los empleados sigan normas generales como no abrir archivos adjuntos de remitentes desconocidos, no conectar dispositivos de almacenamiento que puedan ser inseguros, cambiar periódicamente las propias contraseñas, y actualizar el sistema y las aplicaciones de terceros que emplee la organización.

Sin olvidar estas prácticas, las organizaciones deben tomar especiales precauciones en ciberseguridad si han habilitado políticas de teletrabajo, y contar con soluciones avanzadas en el endpoint que permitan prevenir los ciberataques de malware, tanto los conocidos como los desconocidos, que puedan utilizar el COVID-19 como gancho.