Los delincuentes de internet, o mejor conocidos como hackers de sombrero negro, aprovechan cualquier noticia que sea de gran impacto y se aprovecharán de los usuarios de Internet para explotar cualquier oportunidad que se les presente.
Esto incluso con la propagación del virus COVID-19, ya que se convirtió en una oportunidad para que ellos también mediante un ataque lancen un malware, el malware del coronavirus.
Razón por la cual Cybersecurity publicó un informe de análisis de amenazas, en el que se detalla un nuevo ataque que aprovecha la creciente incertidumbre de los usuarios de Internet por obtener información sobre el nuevo coronavirus, que está causando estragos en todo el mundo.
El ataque de malware está dirigido específicamente a quienes buscan mapas en tiempo real de la propagación de COVID-19 en Internet, esto en realidad es solo un engaño para que descarguen y ejecuten una aplicación maliciosa que, a primera vista, se muestra un mapa cargado de una fuente legítima en línea pero que en segundo plano compromete el equipo del usuario.
Nueva amenaza con un viejo componente de malware
Entre las ultimas amenazas, una de ellas se descubrió por el MalwareHunterTeam la semana anterior y ahora fue analizada por Shai Alfasi, un investigador de seguridad de Reason Labs.
Se trata de un malware identificado como AZORult, un software malicioso para el robo de información descubierto en 2016. El malware AZORult recoge información almacenada en los navegadores web, en particular cookies, historiales de navegación, ID de usuario y contraseñas, además con estos datos robados es posible que los hackers roben números de tarjetas de crédito, etc.
Se discute en los foros clandestinos rusos a AZORult como una herramienta para recoger datos sensibles de las computadoras.. Viene con una variante que es capaz de generar una cuenta de administrador oculta en los ordenadores infectados para permitir las conexiones a través del protocolo de escritorio remoto (RDP).
Análisis de muestras
Se han proporcionado detalles técnicos sobre el estudio del mencionado malware incrustado en el archivo llamado Corona-virus-Map.com.exe. este es un pequeño archivo Win32 EXE con un tamaño de apenas 3,26 MB.
Al hacer doble clic en el archivo se abre una ventana que muestra información variada sobre la propagación de COVID-19. La pieza central es un «mapa de infecciones» para visualizar y rastrear los casos de coronavirus reportados en tiempo real.
Los números de casos confirmados en diferentes países se presentan en el lado izquierdo, mientras que las estadísticas de muertes y recuperaciones se presentan en el lado derecho. La ventana parece ser interactiva, con pestañas para otra información relacionada y enlaces a fuentes.
Presenta una convincente interfaz gráfica de usuario que no muchos sospecharían que es perjudicial.
El software malicioso utiliza algunas capas de empaquetado junto con una técnica de multi-subproceso infundida para que sea un reto para los investigadores para detectar y analizar. Además, emplea un programador de tareas para que pueda seguir funcionando.
¿Cómo saber que tu equipo está infectado? Estos son algunos signos de infección
Al ejecutar Corona-virus-Map.com.exe da pie a que se creen duplicados del archivo Corona-virus-Map.com.exe y de múltiples archivos Corona.exe, Bin.exe, Build.exe y Windows.Globalization.Fontgroups.exe, los activa y estos intentan conectarse a varias URL, además, el malware modifica una cantidad considerable de registros.
Estos procesos y URLs son sólo una muestra de lo que implica el ataque. Hay muchos otros archivos generados y procesos iniciados. Crean varias actividades de comunicación en la red, ya que el malware intenta reunir diferentes tipos de información.
¿Cómo el ataque roba información?
Alfasi observó una carga estática de APIs asociada al archivo nss3.dll. Estas APIs parecían facilitar el descodificado de las contraseñas almacenadas y así generar datos de salida.
En resumen, lo que hace es capturar los datos de entrada del navegador web infectado y los mueve a la carpeta C:\Windows\Temp. el malware extrae datos, genera una identificación única de la computadora infectada, aplica la encriptación XOR, y luego inicia la comunicación.
El malware hace funciones específicas en un intento de robar los datos de acceso de las cuentas de streaming y comunicación en línea tales como Telegram y Steam.
Cabe destacar que la ejecución del malware es el único paso necesario para que proceda con sus procesos de robo de información. Las víctimas no necesitan interactuar con la ventana o introducir información sensible en ella.
Y ahora ¿cómo realizo una limpieza y prevención?
Alfasi sugiere el software Reason Antivirus como la solución para arreglar los dispositivos infectados y prevenir más ataques. Está afiliado a Reason Security, después de todo. Reason es el primero en encontrar y examinar esta nueva amenaza, para poder manejarla de manera efectiva.
Es probable que otras empresas de seguridad ya estén al tanto de la amenaza, ya que Reason la hizo pública el 9 de marzo. Sus antivirus o herramientas de protección contra el malware habrán sido actualizadas al momento de la publicación.
Un punto clave para detener y erradicar el malware del coronavirus es tener un sistema anti malware actualizado. Realmente no es tan sencillo detectarlo manualmente, y mucho menos quitar la infección sin la herramienta de software adecuada.
Puede que no sea suficiente ser cauteloso al descargar y ejecutar archivos de Internet, ya que muchos tienden a ser excesivamente ansiosos por acceder a la información sobre el nuevo coronavirus hoy en día.
Lo que podemos recomendarte es visitar sitios donde los datos se visualicen en línea, no descargar algún programa.
La dispersión del nivel pandémico de COVID-19 merece la máxima precaución no sólo fuera de línea (para evitar contraer la enfermedad) sino también en línea. Los ciberataques están explotando la popularidad de todos los recursos relacionados con los coronavirus en la web, así como de otros temas que por lo general causa polémica y es probable que muchos caigan presa de los ataques.
