El coronavirus como cebo para empresas

Te contamos cómo aprovechan los cibercriminales el temor al coronavirus para atacar a las empresas e instalar malware.

Los mensajes de correo que imitan la correspondencia empresarial con archivos adjuntos maliciosos no son ninguna novedad. Hemos estado viéndolos en el tráfico de spam durante los últimos tres años. Cuanto más precisa es la falsificación, más alta es la probabilidad de que la víctima no sospeche nada.

Este phishing es especialmente peligroso para los empleados de las empresas que venden productos, ya que reciben a diario correos con solicitudes u órdenes de compra. Incluso para alguien preparado para identificar una falsificación no le será fácil determinar si un mensaje es phishing o una orden de compra legítima de un cliente. Por ello la cantidad de correos convincentes, aunque falsos, sigue en aumento. Aunque no son tan frecuentes como el spam malicioso común, ya que se diseñan con un propósito particular y se envían a direcciones específicas.

Estas últimas semanas, los estafadores han aprovechado el brote del coronavirus para dotar sus correos de una credibilidad adicional. A menudo los mensajes mencionan problemas de entrega relacionados con el virus, lo que invita al destinatario a preguntarse de qué entrega se trata. En otros casos, los atacantes utilizan la pandemia para insistir en la necesidad de procesar una solicitud urgente, ya que sus socios habituales no pueden entregarles los productos a tiempo. En cualquier caso, el objetivo es hacer que la víctima abra un archivo adjunto malicioso. Como pretexto, recurren a trucos habituales que normalmente solicitan revisar la información de envío, los detalles de pago, una orden de compra o las existencias del producto.

A continuación, te dejamos algunos ejemplos específicos de este tipo de phishing y de los riesgos que entraña.

Retraso en la entrega

Los estafadores alegan que el COVID-19 ha provocado que las entregas de bienes se pospongan. Son tan amables de incluir archivos adjuntos con la información de entrega actualizada, junto con nuevas indicaciones. En particular, preguntan si la fecha de entrega es adecuada, con lo que instan al destinatario a abrir el archivo adjunto, que a simple vista tiene el aspecto de un archivo PDF.

Pero en lugar de un recibo, dentro hay un instalador NSIS que ejecuta un script malicioso. Entonces el script inicia un proceso estándar cmd.exe y ejecuta un código malicioso a través de él. De esta forma, el código se ejecuta en el contexto de un proceso legítimo, consiguiendo así evadir los mecanismos de defensa estándares. El objetivo final es espiar las acciones del usuario. Nuestros productos de seguridad para correo electrónico identificaron esta amenaza como Trojan-Spy.Win32.Noon.gen.

Orden urgente

Los estafadores alegan que, debido al brote del coronavirus, sus proveedores chinos no pueden cumplir con sus obligaciones. Suena demasiado convincente en estas circunstancias. Para evitar decepcionar a sus clientes, supuestamente buscan colocar con urgencia una orden de compra de bienes (que no detallan en el mensaje) a la empresa en la que trabaja el destinatario. ¿Qué negocio puede resistirse una oportunidad tan repentina?

Pero ¡oh, sorpresa! Los archivos adjuntos no contienen dicha orden de compra, sino el archivo Backdoor.MSIL.NanoBot.baxo. Al iniciarlo, este ejecuta un código malicioso dentro del proceso legítimo de RegAsm.exe (de nuevo, en un intento de evadir los mecanismos de defensa). Esto provoca que los atacantes consigan acceso remoto al ordenador de la víctima.

Otra orden de compra urgente

Esta es una variante de la anterior. De nuevo, el estafador menciona que un proveedor chino ficticio está teniendo problemas con la entrega e investiga los costes y términos de entrega para los bienes detallados en un archivo DOC adjunto.

El uso de un archivo DOC tiene un motivo. Dentro incluye un exploit dirigido contra la vulnerabilidad CVE-2017-11882 en Microsoft Word (nuestras soluciones la detectan como Exploit.MSOffice.Generic). Cuando lo abres, descarga y ejecuta el archivo Backdoor.MSIL.Androm.gen. El objetivo, como todas las puertas traseras, es ganar acceso al sistema infectado.

¡No hay tiempo que perder!

Esta estrategia está dirigida a empresas que están sufriendo interrupciones en el flujo de trabajo debido a la pandemia del coronavirus (que es de gran magnitud y sigue en aumento). Los estafadores presionan al destinatario para que actúe, mientras que expresan la esperanza de que la empresa pueda continuar con el trabajo después de las alteraciones causadas por el coronavirus.

En lugar de la orden de compra, el archivo adjunto contiene Trojan.Win32.Vebzenpak.ern. Al iniciarlo, este ejecuta un código malicioso dentro del proceso legítimo de RegAsm.exe. Nuevamente, el objetivo es conceder a los atacantes acceso remoto a las máquinas comprometidas.

Cómo protegerte de los archivos adjuntos maliciosos en los correos electrónicos

Para evitar que los ciberdelincuentes introduzcan un troyano o una puerta trasera bajo la forma de un archivo adjunto, sigue estos consejos:

  • Analiza con detenimiento las extensiones de los archivos adjuntos. Si contienen un ejecutable, las probabilidades de que sea peligroso rozan el 100 %.
  • Comprueba la existencia de la empresa del remitente. Hoy en día, incluso la más pequeña de las empresas tiene presencia online (por ejemplo, cuentas en redes sociales). Si no encuentras información, no hagas nada. En cualquier caso, probablemente no valga la pena hacer negocios con dicha empresa.
  • Comprueba que los detalles del campo del remitente y la firma automática coincidan. Por raro que suene, los estafadores a menudo olvidan este detalle.
  • Recuerda que los ciberdelincuentes pueden recopilar algo de información sobre su “empresa” de fuentes públicas. Así que, si sospechas que las intenciones del correo no son buenas, ponte en contacto con la empresa en cuestión para comprobar que han sido ellos los que han enviado el mensaje.
  • Y lo más importante, asegúrate de que tu empresa usa una solución de seguridad de confianza tanto a nivel de las estaciones de trabajo como del servidor de correo electrónico. Y asegúrate de que se actualice periódicamente y use bases de datos recientes. De lo contrario, será difícil determinar si un archivo adjunto enviado por correo electrónico es nocivo, especialmente con respecto a los documentos de Office.
Consejos