Del virus al malware, COVID-19 y la ingeniería social

Seamos originales, hablemos del Coronavirus.

Cuando nos encontramos en una situación de histeria colectiva como la actual, tenemos un caldo de cultivo especialmente beneficioso para los ciberdelincuentes que quieren sacarnos el dinero o los datos.

Los esquemas de ataque más comunes implican el uso de ingeniería social para tejer engaños basados en phishing, smishing, whaling y todas las otras variantes, cuyo propósito principal es parecido. Haremos un breve recorrido por lo que se ha visto hasta ahora para que puedas alertar a tu organización o familia de los mismos.

Scams, phishing, keyloggers a cuenta del COVID-19

Bueno, empezamos a repasar la diversidad de estafas y bulos que se han ido utilizando en orden de aparición. Por si no lo sabes, si has estado de vacaciones o poco al tanto, se ha venido hablando del coronavirus en diferentes partes del mundo desde el pasado Febrero de 2020.

Comienzos de Febrero 2020

Se comienza a utilizar el coronavirus como cebo para atraer al usuario respecto del problema emergente en China. La epidemia del COVID-19 se utiliza para intentar instalar malware en equipos de usuarios.

Los observadores del laboratorio Cybaze-Yoroi Z-Lab observan emails procedentes de una campaña de spam que promete información sobre el virus, medidas para prevenirlo e impedir su difusión.

Estos mensajes se usan para transmitir el malware Emotet. Se utilizan diferentes tipos de archivo, entre los que se encuentran PDF, mp4 y docx.

IBM X-Force detalla en un documento técnico la forma en que otra campaña -cuyo objetivo es el público japonés, intenta a su vez infectar con Emotet.

Finales de Febrero 2020

La empresa Est Security localiza código dañino introducido en un programa llamado Corona’s real-time corona status o bien Corona’s domestic status. Cuando ejecutan el programa, aparece un popup con el texto Real-time Corona19 status, aunque depende de la variante.

El keylogger

Por otro lado, aparece un archivo sospechoso llamado CoronaVirusSafetyMeasures_pdf y que es analizado por Yomi the Malware Hunter. Se intenta hacer pasar por un documento oficial con recomendaciones para combatir el virus e impedir la infección.

Entre comunicaciones de red diversas, que implican conectarse a un servicio público de compartición de archivos en la nube llamado https://share.dmca.gripe, acompañado por un fuerte cifrado de su contenido, el malware acaba por desplegar dos archivos en el perfil del usuario (%userprofile%):

• filename1.vbs
• filename1.exe

El archivo VBscript simplemente lanza el ejecutable. Se asegura persistencia añadiendo una clave de registro en:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

El código malicioso albergado por el programa contiene información sensible que el malware obtiene de cada pulsación de teclas del usuario, guardándose esta en el archivo logs.dat. Ese archivo se encuentra en:

“%AppData%\Local\Temp\onedriv

Finalmente, se envía todo lo robado al host remoto 66.154.98.108 que es propiedad de Total server solutions LLC, operador desde 2012 de hosting en EEUU.

Información adicional

• Hash: c9c0180eba2a712f1aba1303b90cbf12c1117451ce13b68715931abc437b10cd
• Recurso: hxxps:// share.dmca.[gripe/jUuWPW6ONwL1Wkux.bin
• C2: 66.154.98.[108

Reglas Yara:

import "pe" 
rule Remcos_RAT_COVID19_Feb_2020 { 
meta: 
description = "Yara rule for the Remcos RAT Feb_2020 " author = "Yoroi - ZLab" 
last_updated = "2020-02-25" 
tlp = "white" 
category = "informational" 
strings: 
$a1 = {ED C3 37 D7 6F C7 E0 2F 7B BA DA} 
$a2 = {4D 53 56 42 56 4D 36 30} 
$a3 = "VB5!6&*" 
$a4 = "Khedivi" 
$a5 = "|dbdU79?B_|" 
$a6 = "Altsaxu1" 
condition:
uint16(0) == 0x5A4D and pe.number_of_sections == 3 and (3 of ($a*)) }

Marzo 2020

Ya en Marzo hemos tenido diferentes tipos de amenaza pululando por ahí.

Ejemplo del malware CoronaMap.exe

Una de las más populares es el mapa de infectados CoronaMap.exe. Evidentemente a todos interesa conocer la evolución del virus.

NOTA: no se trata de una web, sino de un ejecutable, que toma datos robados de la web puesta a disposición por la Universidad John Hopkins.

A continuación la muestra en VirusTotal:

https://www.virustotal.com/gui/file/2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307/detection

CoronaMap.exe [PID 4280] comienza creando otro proceso llamado “Corona.exe”[PID 7032]. Cuando se analiza este fichero, se ve fácilmente que es un archivo, lo que quiere decir que probablemente contiene comandos de ejecución que puede seguir. Simplemente usando Winrar para ver el contenido del archivo, encontré dos archivos dentro que estaban en modo auto-extraíble (SFX). Estos eran Corona.bat y Corona.sfx.exe, que podemos ver en el arbol de procesos de procmon.

Al abrir el archivo Corona.bat, pudimos ver que el archivo Corona.sfx.exe fue extraído con una contraseña hardcodeada (3D2oetdNuZUqQHPJmcMDDHYoqkyNVsFk9r) al directorio C:\windows\system32.

ReasonSecurity para más información e IOCs

Este es el flujo de actuación del malware.

Más datos sobre el malware:

• SHA-1 949b69bf87515ad8945ce9a79f68f8b788c0ae39
• MD5 73da2c02c6f8bfd4662dc84820dcd983
• Nombre: Corona-virus-Map.com.exe
• Tipo: Win32 EXE
• Primera aparición: 2020-03-02 16:50:25

Otros ciberataques digitales por Coronavirus

Aquí no acaba la cosa, tenemos otra variedad de ataques ocurridos en lo que llevamos de mes que, por extensión del artículo, no cubriré.

• 6 de Marzo de 2020. Trickbot ataca Italia utilizando emails relacionados con el coronavirus
• 8 de Marzo de 2020. Nuevo ataque relacionado con el COVID-19 que reparte malware FormBook.
• 13 de Marzo de 2020. Ciberataques a nivel estatal relacionados con este virus.
• 15 de Marzo. BlackWater, malware que emplea los nodos de CloudFlare para comunicacrse con su C2.

Y también existen ciertos dominios que la firma Recorded Future nos recomienda evitar a toda costa porque se consideran peligrosos:

• coronavirusstatus[.]space
• coronavirus-map[.]com
• blogcoronacl.canalcero[.]digital
• coronavirus[.]zone
• coronavirus-realtime[.]com
• coronavirus[.]app
• bgvfr.coronavirusaware[.]xyz
• coronavirusaware[.]xyz

Consejos para protegerte de estafas como estas

Evidentemente el primer paso para evitar estos engaños es informarnos mediante fuentes con buena reputación y fiables, como son el propio gobierno de España y su web sobre infecciones por COVID-19, cómo actuar, medidas de prevención y a quién acudir en cada caso.

También está disponible el mapa en tiempo real de la John Hopkins University.

Después tenemos las clásicas buenas prácticas para sortear ataques de phishing o ingeniería social:

• Piensa antes de hacer clic en cualquier adjunto o sitio web que venga enlazado en mensajes de correo, SMS u otros medios. Si algo es demasiado bueno, urgente o parece irreal es porque lo es.
• Si vas a trabajar estos días en casa, utiliza una VPN para acceder a los recursos de tu empresa. Firewalla te ofrece esto y más.
• Mantén tu software al día para tapar las vulnerabilidades y cuenta con protección como mínimo antivirus/antimalware.

El FBI, por su parte, ha publicado esta semana una serie de consejos (algunos algo radicales) para usuarios y negocios, de forma que se protejan mejor frente a los engaños. Destacan la desactivación de autofill (auto-completado del navegador) y sobre impedir que el navegador recuerde las contraseñas.

Además, añaden, es recomendable usar un bloqueador de anuncios (¿quizá usando Pi-Hole?), eliminar los datos de navegación cuando salgamos del navegador o habilitar la característica Do Not Track en nuestro navegador.

Algunas de ellas me parecen excesivas, puedes verlas aquí.

Eso es todo por hoy, espero haberte ayudado a protegerte y conocer un poco mejor las amenazas a las que te enfrentas, que no son solo el virus de marras. Ya sabes, la información es poder, así que infórmate bien y con frecuencia.

Fuentes: Pierluigi Paganini, Bitdefender, Yoroi, Recorded Future, CCN-CERT