Coronavirus: así lo utilizan para infectar tu ordenador

A medida que el Coronavirus que se origina en la provincia china de Wuhan continúa suscitando temores generalizados sobre una crisis de salud pública mundial, algunos ven una oportunidad en el brote. Una reciente serie de correos electrónicos maliciosos impulsados por botnet está utilizando el coronavirus como tema.

Los correos electrónicos pretenden adjuntar avisos sobre medidas de prevención de infecciones para la enfermedad. Y bastante irónicamente, un virus se está utilizando como pretexto para distribuir otro, específicamente, el notorio troyano Emotet.

Investigadores y expertos de varios antivirus nos comparten sus hallazgos. La mayoría de los correos electrónicos se han visto escritos en japonés, dijeron los investigadores, lo que sugiere que los operadores están apuntando intencionalmente a regiones geográficas que pueden verse más afectadas por el brote debido a sus ubicaciones en Asia. El asunto de los correos electrónicos contiene la fecha actual y la palabra japonesa para «notificación», con el fin de aumentar la apuesta de dar una sensación de urgencia.

«Los correos electrónicos parecen haber sido enviados por un proveedor de servicios de asistencia social para discapacitados en Japón», según un informe de IBM X-Force, publicado esta semana. «El texto establece brevemente que ha habido informes de pacientes con coronavirus en la prefectura de Gifu en Japón e insta al lector a ver el documento adjunto».

«Anteriormente, los correos electrónicos japoneses de Emotet se habían centrado en las notificaciones y facturas de pago de estilo corporativo, siguiendo una estrategia similar a los correos electrónicos dirigidos a víctimas europeas», dijo la firma. «Este nuevo enfoque para administrar Emotet puede ser significativamente más exitoso, debido al amplio impacto del coronavirus y el miedo a la infección que lo rodea».

Características del ataque: el virus detrás del Coronavirus

El documento adjunto, cuando se abre, muestra un mensaje de Office 365 que le pide al usuario que «habilite el contenido» si el documento se ha abierto en una vista protegida, según el análisis de IBM X-Force. Al igual que con la mayoría de los ataques transmitidos por correo electrónico de Emotet, si el archivo adjunto se abre con macros habilitadas, un script abre Powershell e instala un descargador de Emotet en segundo plano.

No es solo Emotet el que busca sembrar infecciones a raíz de la creciente amenaza. Kaspersky ha visto surgir varias campañas de spam en las últimas semanas que contienen una variedad de archivos adjuntos con temática de coronavirus.

«Los archivos maliciosos descubiertos fueron enmascarados bajo la apariencia de archivos .PDF, .MP4, .DOC sobre el coronavirus», dijeron los investigadores en un análisis publicado el jueves y compartido con Threatpost. «Los nombres de los archivos implican que contienen instrucciones en video sobre cómo protegerse del virus, actualizaciones sobre la amenaza e incluso procedimientos de detección de virus, que en realidad no es el caso».

Los archivos contienen una gran cantidad de amenazas, incluidos troyanos y gusanos que son «capaces de destruir, bloquear, modificar o copiar datos e interferir con el funcionamiento de computadoras o redes», según la firma. Hasta ahora, se han visto 10 documentos diferentes circulando.

Aprovechando el caos global: usando el Coronavirus como una vía de entrada

Desafortunadamente, con la cantidad de casos de coronavirus superando el brote de SARS de 2003 (8,200 confirmados al momento de este escrito), la enfermedad probablemente será un señuelo duradero en el futuro, dijeron los investigadores.

«A medida que las personas continúan preocupadas por su salud, es posible que veamos más y más malware oculto en documentos falsos sobre la propagación del coronavirus», escribió Anton Ivanov, analista de malware de Kaspersky, en el informe.

IBM X-Force también advirtió que los operadores de Emotet probablemente ampliarán su objetivo más allá de Japón pronto. ¿Es esta una señal de alarma? Probablemente.

«Esperamos ver más tráfico de correo electrónico malicioso basado en el coronavirus en el futuro, a medida que la infección se propague», según la publicación. “Esto probablemente incluirá otros idiomas también, dependiendo del impacto que tenga el brote de coronavirus en los hablantes nativos. En estas primeras muestras, las víctimas japonesas probablemente fueron atacadas debido a su proximidad a China. Desafortunadamente, es bastante común que los actores de amenazas exploten las emociones humanas básicas como el miedo, especialmente si un evento global ya ha causado terror y pánico ”.