La aparición de la enfermedad por coronavirus, COVID-19, que se originó a finales de diciembre de 2019, ha traído consigo el caos en muchos sectores económicos. Además, este caos también ha originado una nueva amenaza de ciberseguridad, desencadenando la creación de campañas de phishing con la temática del COVID-19 y la creación de dominios relacionados con él.

La amenaza técnica inminente que rodea al COVID-19 parece estar, en la mayoría de los casos, relacionada con campañas de phishing en las que los atacantes indican que los archivos adjuntos contienen información sobre la actualidad del COVID-19 en el mundo. En los últimos días se han observado una larga lista de atacantes y malware que emplean estas técnicas, incluyendo en la lista de malware Trickbot, Lokibot y el agente Tesla. Estos ataques están dirigidos a un amplio conjunto de víctimas, incluidas las de los Estados Unidos, Italia, España, Ucrania e Irán, en particular.

Los actores de las amenazas también se han esforzado por ganar la confianza de las víctimas mediante el uso de marcas asociadas con los Centros para el Control y la Prevención de Enfermedades (CDC), la Organización Mundial de la Salud (OMS o WHO por sus siglas en inglés), agencias de salud específicas de cada país y empresas como FedEx. 

Aspectos clave

Los ciberdelincuentes a menudo usan la marca de organizaciones "confiables" en estos ataques de phishing, especialmente las de organizaciones nacionales e internacionales pertenecientes al sector de la salud, con el fin de generar credibilidad y hacer que los usuarios abran archivos adjuntos o hagan clic en enlaces.

La cantidad de dominios recientemente registrados relacionados con el coronavirus ha aumentado desde que el brote se ha generalizado, con actores de amenazas creando infraestructura para apoyar campañas maliciosas que se refieren al COVID-19. El pico inicial en los registros de dominios coincidió con un gran pico en los casos reportados de COVID-19 a mediados de febrero, un posible indicador de que los atacantes comenzaron a darse cuenta de la utilidad de COVID-19 como vector de ataque.

Para comprender el uso de COVID-19 por parte de ciberdelincuentes se ha establecido una relación entre la cantidad de dominios creados asociados con el "coronavirus" en 2020 y la cantidad de referencias a ciberataques o exploits relacionados con "coronavirus" o "COVID -19".

Ciberataques que utilizan el COVID-19

En los últimos meses, se ha observado un aumento en el número de instancias que utilizan COVID-19 como vector de ataque en cualquier incidente cibernético, como se muestra en la siguiente línea de tiempo:

Fuente: Recorded Future

A partir de finales de enero de 2020, y durante el mes de Febrero se ha ido viendo un aumento de ciberataaues a medida que ha ido aumentando el número de infecciones por COVID-19, presentando picos altos en el mes actual, marzo. A pesar de que el COVID19 se utiliza como parte de diferentes tipos de ataques, parece claro que el preferido por los ciberatacantes es utilizarlo como señuelo en campañas de phishing. 

• Malware AZORult: campaña de phishing que empleaba la temática de COVID-19. Los correos electrónicos dirigidos al sector industrial, finanzas, transporte, farmacéutica y cosmética, contenían archivos adjuntos de documentos de Microsoft Office diseñados para atraer a las víctimas y explotar la vulnerabilidad de Microsoft Office CVE-2017-11882, que permitía a los atacantes ejecutar código arbitrario en el contexto del usuario. Según investigadores de Proofpoint, estos correos electrónicos maliciosos se originaron en grupos de Rusia y Europa del Este.
• CODVID-19: phishing que distribuye Emotet en Japón. Investigadores de IBM X-Force han observado que los correos electrónicos dicen contener documentos adjuntos de Microsoft Word con información y actualizaciones sobre el virus, pero en realidad contenían una macro maliciosa de VBA que instalaba un script de PowerShell, que luego descargaba el troyano Emotet.
• Correos electrónicos de phishing que emulan los dominios de los Centros para el Control y Prevención de Enfermedades (CDC). Empleaban los dominios cdc-gov[.] org y cdcgov[.] org. Según Kaspersky, la URL contenida en estos correos de phishing llevaba a una página falsa de Microsoft Outlook, diseñada para convencer a las víctimas de ingresar sus credenciales. En otros casos, se solicitaba a las víctimas una donación en Bitcoin para para ayudar a la búsqueda de una vacuna.
• "COVID-19 - Now Airborne, Increase Community Transmisión". Cofense identificó que cuando las víctimas hacían clic en la imagen incrustada, eran redirigidas a una página de inicio de Microsoft Outlook, y al ingresar sus credenciales legítimas, eran de nuevo redirigidas a un sitio web legítimo de CDC. El engaño era posible al insertar un comando SMTP HELO que le indicaba al servidor de correo electrónico que tratara el email como si se hubiera originado en el dominio cdc[.]gov a pesar tener un remitente con un dominio e IP diferentes.
• Campaña de suplantación de identidad en Italia que empleaba asuntos como "Atención: Lista de empresas afectadas con coronavirus, 02 de marzo de 2020"o "Coronavirus: información importante sobre precauciones". Cofense explica que estos emails contienen documentos maliciosos de Microsoft Office con macros VBA incrustadas que se utilizaron para descargar Trickbot. El troyano bancario Trickbot se puede utilizar para robar información confidencial de las víctimas, así como para eliminar un malware adicional. Para reforzar la credibilidad del señuelo adjunto, el supuesto autor era "Dr. Penélope Marchetti", un representante de la OMS en ese momento.
• Documentos maliciosos de Microsoft Word: el equipo de investigación de seguridad @issuemakerslab observó un documento malicioso de Microsoft Word que descargaba el malware BabyShark de Corea del Norte que afirmaba contener información sobre la respuesta de Corea del Sur al virus COVID-19.
• La campaña "TrickyMouse" dirigida a Ucrania. @reddrip7 descubrió un archivo adjunto malicioso de un documento de Word llamado "KOPOHaaipyCHa iHcÞeK4ifi COVID19.doc" que contenía una puerta trasera C#. Los investigadores sospechan que este malware está relacionado con la APT de Hades. El documento utiliza la marca registrada de la OMS y el Centro de Salud Pública del Ministerio de Salud de Ucrania como señuelo.
• Otra campaña utilizó la marca registrada FedEx en un ataque de phishing, con el objetivo de proporcionar a las víctimas información sobre las operaciones globales de FedEx mientras continúa el brote de COVID-19. Los correos contenían un archivo adjunto titulado "Customer Advisory.PDF. exe" que, al abrirse, infectaba a la víctima con el software Lokibot.
• Lokibot se distribuyó adicionalmente en una campaña de phishing. Reclamando ser enviado por el Ministerio de Salud en la República Popular de China, los correos electrónicos afirmaban contener información sobre las regulaciones de emergencia que rodean al virus con la línea de asunto "Ordenanza de Regulación de Emergencia" (sic), y tenían un archivo adjunto RAR de Windows con la extensión .arj. Una vez abierto, el archivo malicioso adjunto infecta a la víctima con Lokibot, contactando de inmediato con una dirección IP maliciosa y exponiendo las credenciales del usuario. 
• El troyano bancario Grandoreiro se distribuía a través de sitios que utilizan la epidemia de coronavirus como señuelo. Los sitios web muestran información sobre el coronavirus con un video incrustado, a través del cual, y una vez que el usuario hace clic, se descarga el ejecutable Grandoreiro. Según el usuario de Twitter @ESETresearch, el malware está actualmente dirigido a usuarios en Brasil, México y España. 

Además, el coronavirus está siendo utilizado como arma para difundir spyware por el gobierno iraní. El Ministerio de Salud de Irán envió un mensaje a las víctimas aconsejándoles que descarguen una aplicación específica para monitorizar los posibles síntomas de COVID- 19. Esta aplicación era, en realidad, spyware. La aplicación maliciosa de Android, llamada ac19.apk, es una recopilación de servicios de localización de víctimas y monitorización de la actividad física de un usuario (como caminar o sentarse), ostensiblemente para determinar a dónde va el usuario y cuándo. La aplicación se distribuye en un sitio web creado por el gobierno iraní.

Nuestras Recomendaciones

Además de las campañas internacionales, este tipo de campañas de phishing en nuestro país pueden venir en forma de diferentes suplantaciones de organismos dedicados a la sanidad y pueden distribuirse por diferentes vías como WhatsApp, no solo por correo electrónico.

1. Verifica y contrasta siempre las fuentes de toda la información que recibas. Si las desconoces, desconfía de su veracidad.
2. Sé responsable y no contribuyas a la desinformación reenviando contenidos (texto y audio) a través de redes sociales, WhatsApp, mensajería instantánea, YouTube o SMS. Muchos de estos contenidos se propagan viralmente conteniendo información engañosa sobre medicamentos, transmisión de enfermedades, tratamiento, libertad de movimiento, limitación de transporte, cuarentenas u otra información vital.
3. Sé especialmente cauteloso con cualquier comunicación por correo electrónico o de otro tipo que pretenda provenir de los CDC, de la OMS o de cualquier entidad de salud nacional, incluso si parece provenir de una dirección legítima con dominio oficial.
4. Visita los sitios web conocidos de la OMS y los CDC directamente para obtener información actualizada y evitar ser víctima de los cibercriminales. A menos que formes parte de alguna organización médica, es muy difícil que estas agencias te envíen correos electrónicos sobre COVID-19.
5. No realices pagos en criptomonedas. Los CDC, la OMS y otras organizaciones no aceptan este tipo de pago por lo que cualquier solicitud que las incluya debe considerarse maliciosa.
6. Presta atención al lenguaje empleado. Los correos electrónicos maliciosos a menudo usan un lenguaje que transmite sentido de urgencia y en muchas ocasiones emplean mala gramática u ortografía. También es aconsejable evitar abrir los enlaces que dicen contener información adicional.
7. Deshabilita las macros en Microsoft Office si no las necesitas ya que muchos de los archivos adjuntos maliciosos utilizan macros VBA como una parte inicial de la infección de las víctimas.

El Centro Criptológico Nacional (CCN-CERT), adscrito al Centro Nacional de Inteligencia (CNI), es el organismo encargado de responder y afrontar las ciberamenazas en el territorio español. Sigue el hilo que ha creado en Twitter con el hashtag: #NoTeinfectesConElMail para mantenerte informado sobre las últimas campañas maliciosas que surjan.