Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Advertencia de coronavirus propaga virus informáticos

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 574
by Paul patito

A principios de este mes, informamos sobre un estafa de phishing en el que el atractivo era "medidas de seguridad" contra el coronavirus (Covid-19).

En ese ataque, los delincuentes lo llevaron a un facsímil del sitio web de la Organización Mundial de la Salud (OMS), donde la información se publicó originalmente.

Sin embargo, en la copia arrancada del sitio, los delincuentes habían agregado el paso extra tortuoso de abrir un cuadro de contraseña de correo electrónico en la página principal.

Por supuesto, el sitio web de la OMS no le pedirá su contraseña de correo electrónico; después de todo, es un sitio web de información pública, no un servicio de correo web, por lo que no necesita sus datos de correo electrónico.

Los delincuentes esperaban que porque su sitio web se parecía exactamente a la realidad, de hecho, contenida el sitio web real, que se ejecuta en un marco de navegador en segundo plano con la ventana emergente ilícita en la parte superior; es posible que solo ingrese los detalles de su correo electrónico por costumbre.

Bueno, aquí hay otra forma en que los delincuentes están usando las preocupaciones sobre el brote de Coronavirus, combinado con el nombre de la OMS, para engañarlo y hacer que haga clic en los botones y abra los archivos que generalmente ignoraría:

SophosLabs siguió este particular campaña de spam en Italia, donde los delincuentes lo han hecho creíble y digno de clics por:

  • Escribir el mensaje en italiano.
  • Pretendiendo citar a un funcionario italiano de la OMS.
  • Referencia a infecciones de virus conocidas en Italia.
  • Instando a los italianos en particular a leer el documento.

En otras palabras, los delincuentes no solo han enviado un mensaje general tratando de capitalizar los temores globales, sino que han dado a su correo electrónico fraudulento un sabor regionalizado y, por lo tanto, una razón específica para actuar:

coronavirus: información importante sobre precauciones

A causa del fatto che nello Sua zona sono documentati casi di infezione […] [l] e consigliamo vivamente di leggere il document allegato a questo messaggio!

-

coronavirus: información importante sobre precauciones

Debido a que hay infecciones documentadas en su área [...], le recomendamos encarecidamente que lea el documento adjunto a este mensaje.

Esta vez, no hay un enlace a un sitio web fraudulento, sino un archivo adjunto que se recomienda leer.

En este momento, debe sospechar, dado que los documentos de Word pueden contener las llamadas macros, módulos de software integrados que a menudo se utilizan para propagar malware, y que es un riesgo obvio de aceptar desde fuera de su empresa.

De hecho, las macros de Word, a menudo utilizadas legítimamente dentro de las compañías para administrar el flujo de trabajo interno del negocio, son lo suficientemente arriesgadas cuando llegan del exterior que Microsoft, por muchos años, las ha bloqueado por defecto.

Sin embargo, como probablemente sepa, los delincuentes han aprendido a convertir las advertencias de seguridad de Microsoft en "características", como puede ver aquí:

El documento real, la parte que no es peligrosa y que no contiene el código macro, es el texto con el fondo azul que ves arriba, y los delincuentes lo han creado deliberadamente para que parezca un mensaje del propio Microsoft Office :

Tu aplicación activada

Este documento fue creado en una versión anterior de Microsoft Office Word. Para ver el contenido completo, haga clic en "Habilitar edición" y luego en "Habilitar contenido"

© Microsoft 2020

Tan razonable como esto suena, NO PERMITA EL CONTENIDO!

El "contenido" que activará haciendo clic en el [Enable Content] el botón no es el documento en sí, después de todo, ya está mirando la parte del documento, sino las macros ocultas en él.

Y las macros en este documento no tienen nada que ver con el flujo de trabajo de su empresa: componen el código de software malicioso que los delincuentes quieren ejecutar.

SophosLabs ha publicado un informe técnico sobre lo que sucede si ejecuta este macro malware, que involucra una serie de etapas que finalmente resultan en infección por una cepa conocida de malware de Windows llamada Trickbot.

Le recomendamos que lea el informe de Labs para aprender cómo se desarrolla una infestación de malware moderna, con cada paso descargando o descifrando la siguiente parte, generalmente con la esperanza de dividir el ataque en una serie de operaciones que son menos sospechosas, una por una. tiempo, que ejecutar el malware final de inmediato.

¿Dónde he escuchado ese nombre antes?

Si te preguntas dónde has escuchado el nombre Trickbot antes, bien podría haber estado en el Podcast de seguridad desnuda, donde nuestro experto residente en respuesta a amenazas Peter Mackenzie lo ha mencionado más de una vez. (En el episodio a continuación, la sección de Peter sobre ataques de malware comienza a las 19'10 ".)

ESCUCHA AHORA

Haga clic y arrastre las ondas de sonido a continuación para saltar a cualquier punto del podcast. Tú también puedes escuchar directamente en Soundcloud.

Trickbot es peligroso por derecho propio: comenzó como un llamado troyano bancario, un tipo de malware que intenta secuestrar el acceso a su cuenta bancaria.

En estos días, Trickbot también es muy comúnmente un precursor de un ataque de ransomware completo.

Al implantar Trickbot en su computadora, los delincuentes se afianzan dentro de su red donde pueden recolectar contraseñas y datos y mucho más, así como asignar los recursos que tiene.

Una vez que han exprimido todo el valor criminal que pueden de la parte Trickbot, los ladrones a menudo usan el bot como plataforma de lanzamiento para su acto final: un ataque de ransomware.

Una familia de ransomware que comúnmente sigue a las infecciones no controladas de Trickbot es la cepa de malware conocida como Ryuk, cuyos operadores criminales son conocidos por pedir pagos de rescate de seis o incluso siete cifras.

¿Qué hacer?

  • No se deje engañar por las cifras de autoridad mencionadas en un correo electrónico. Esta estafa dice ser de un funcionario italiano de la OMS, pero cualquiera puede firmar un correo electrónico con un nombre impresionante.
  • Nunca se sienta presionado para abrir archivos adjuntos en un correo electrónico. Lo que es más importante, no actúe siguiendo consejos que no solicitó y que no esperaba. Si realmente está buscando consejos sobre el coronavirus, haga su propia investigación y elija dónde buscar.
  • Nunca haga clic en [Habilitar contenido] en un documento porque el documento se lo indica. Microsoft bloqueó la ejecución automática del llamado "contenido activo", como las macros, precisamente porque se usan con tanta frecuencia para implantar malware en su computadora.
  • Eduque a sus usuarios. Productos como Amenaza de phishing de Sophos puede demostrar el tipo de trucos que usan los phishers y los estafadores, pero con seguridad para que si alguien se enamora de él, no se haga ningún daño real. Sophos también tiene un kit de herramientas antiphishing gratuito que incluye carteles, ejemplos de correos electrónicos de phishing, consejos principales para detectar estafas por correo electrónico y más.

Fuente: https://nakedsecurity.sophos.com/2020/03/05/coronavirus-warning-spreads-computer-virus/

punto_img

café vc

Capitales de Riesgo

vidacienciav

Capitales de Riesgo

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.