Correos electrónicos principales de la OMS que afirman que ofrecen keyloggers de plantas de asesoramiento sobre medicamentos con coronavirus en su PC


Coronavirus: incertidumbre por todas partes
El coronavirus ha descendido al mundo con una brusquedad desconcertante, y está cambiando drásticamente la forma en que vivimos y trabajamos. Leer más: https://zd.net/2Qk7kr7

Los correos electrónicos que dicen ser del líder de la Organización Mundial de la Salud (OMS) están circulando en nuevas campañas de phishing diseñadas para plantar keyloggers en su PC.

UN nueva campaña descubierto por los investigadores de IBM X-Force esta semana está en curso e involucra una nueva variante del malware HawkEye.

HawkEye es un malware de robo de credenciales y keylogger que generalmente se propaga a través de correos electrónicos fraudulentos y archivos maliciosos de Microsoft Word, Excel, PowerPoint y RTF. Una vez instalado en una máquina víctima, el malware intentará robar el correo electrónico y las credenciales del navegador, incluidas las utilizadas en IE, Chrome, Safari y Firefox.

El keylogger puede registrar pulsaciones de teclas, capturar capturas de pantalla y enviar datos robados a sus operadores a través de correo electrónico cifrado.

En campañas anteriores, HawkEye se ha implementado a través de mensajes de phishing relacionados con confirmaciones de boletos de aerolíneas y comunicación bancaria. Sin embargo, como pánico que rodea COVID-19 aumenta, los actores de amenazas han decidido aprovechar la pandemia.

La última variante del código malicioso se está difundiendo a través de correos electrónicos enmascarados como mensajes oficiales del Dr. Tedros Adhanom Ghebreyesus, Director General de la OMS.

Ver también: Coronavirus: negocios y tecnología en una pandemia

La campaña activa es nueva, ya que comenzó el jueves. Se han detectado varias oleadas de correos electrónicos fraudulentos, y puede haber más por venir.

ibm2.jpg

Si bien los errores ortográficos son un regalo para los mensajes falsos, si una víctima abre el archivo adjunto, encontrará un archivo .exe llamado "Coronavirus Disease (Covid-19) CURE.exe" contenido dentro.

CNET: El primer caso de coronavirus de Amazon en un almacén de EE. UU. Podría complicar el envío

El archivo .exe contiene un ejecutable .NET que actúa como el cargador HawkEye, ofuscado a través de ConfuserEx y el protector de Cassandra. Una vez ejecutado, el cargador pone en acción otro ejecutable, Interfaces2 .dll, y carga una imagen de mapa de bits que contiene el código de ensamblaje incrustado.

"La imagen es analizada por columnas de arriba a abajo, comenzando desde la columna más a la izquierda para ir a la derecha", dicen los investigadores. "Para cada píxel así encontrado, si el color de estos (incluido el canal alfa) es diferente del color del píxel, a (0, 0) o en la esquina superior izquierda, agrega tres bytes a la matriz de carga útil. tres bytes son, en orden: el canal rojo, verde y azul del píxel ".
Los valores RGB se utilizan para generar bytes de carga útil, excluyendo los píxeles transparentes por completo.

TechRepublic: Los líderes mundiales de recursos humanos responden al coronavirus: el 48% de los empleadores requieren licencia por enfermedad para COVID-19

La carga útil decodificada obtenida del archivo de imagen es ReZer0V2.exe, un programa diseñado para intentar desactivar Windows Defender. La muestra, que también contiene características anti-sandbox y anti-virtual machine (VM), inyectará HawkEye en procesos de ejecución específicos.

"Hablando de medicamentos preventivos y curas en un correo electrónico que se falsifica para aparecer directamente del Director de la OMS, en esta situación actual se espera que tenga un gran éxito", dice IBM, con una nota dirigida a los países menos equipados para tratar un brote de COVID-19.

Las estafas de COVID-19 abundan. En semanas recientes, Los estafadores de Cashapp están utilizando el coronavirus como un captador de atención para obsequios falsos, y en Canadá, los estafadores a domicilio afirman que ofrecen a los residentes kits de prueba de coronavirus.

En el hora de escribir, COVID-19 se ha extendido a 169 países y regiones, con más de 245,000 casos confirmados.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original