Cibercriminales que explotan el coronavirus para desplegar infostealers


Estas amenazas están diseñadas para capturar nombres de usuario, contraseñas, datos bancarios, información de pink y otros datos confidenciales, dice el proveedor de seguridad Lastline.

Los cibercriminales han estado ocupados ideando campañas de correo electrónico que aprovechan el brote de coronavirus. Al prometer información o ayuda sobre la pandemia, estos ataques infectan a destinatarios desprevenidos con malware, a menudo diseñado para capturar información personal. Una de esas campañas analizadas por Lastline utiliza infostealers para obtener datos privados de sus víctimas.

VER: Coronavirus y su impacto en la empresa (TechRepublic Quality)

en un publicación de blog publicada el lunes, Lastline dijo que se detectó una variedad de amenazas centradas en COVID-19, y muchas de estas amenazas son infostealers. Algunos de los infostealers analizados son más antiguos. Por ejemplo, el Hawkeye infostealer ha estado activo desde alrededor de 2013.

Otros son relativamente frescos. los 404 Keylogger apareció por primera vez en un foro website oscuro de Rusia en agosto de 2019, según Lastline. Ambas amenazas utilizan el registro de teclas para registrar las pulsaciones de teclas ingresadas por el usuario para capturar contraseñas y otra información escrita.

Ya sean relativamente antiguas o nuevas, estas amenazas basadas en correo electrónico se han actualizado para explotar el coronavirus. Todos los asuntos de correo electrónico contienen al menos una palabra clave relacionada con la pandemia, como «Coronavirus», «COVID-19» o «Corona». El texto del cuerpo del correo electrónico utiliza un lenguaje de ingeniería social urgente sobre la enfermedad. Y los archivos adjuntos en estos correos electrónicos reciben nombres relacionados con el coronavirus, como «CENTRO DE Regulate DE ENFERMEDADES_COVID_19 DOCUMENTO DE LA OMS_PDF» y «Carta a clientes_covid-19_pdf».

Mediante el uso de keyloggers, muchos infostealers intentan robar información como nombres de usuario, contraseñas y datos bancarios. Algunos infostealers, como Agente Tesla, se han convertido en amenazas más avanzadas capaces de robar contraseñas de Wi-Fi. Algunos, como Trickbot, son capaces de capturar información del sistema y la red. Y algunos, incluidos Trickbot y Hawkeye, incluso pueden tomar el contenido de las billeteras de criptomonedas.

Analizando la actividad de los infostealers durante marzo de 2020, Lastline descubrió que diferentes amenazas estaban activas en diferentes fechas. El 2 de marzo, ambos Lokibot y las campañas de Trickbot estaban en vigor. Una semana después, el 9 de marzo, Lokibot fue nuevamente detectado. Al día siguiente, el 10 de marzo, Lastline encontró campañas activas con Hawkeye. El 24 de marzo, el 404 Keylogger dominó las listas diarias.

infostealers-coronavirus-lastline.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/11/808134a2-053d-45f0-892e-4d990474bf49/resize/770x/4a4fcb4346bea59dd448c0e8a3ctea556 -coronavirus-lastline.jpg

Imagen: Lastline

La mayoría de estas campañas se aceleran durante la semana, comenzando el lunes, y luego disminuyen durante el fin de semana. Los spammers y los operadores de malware se dirigen específicamente a las personas que vuelven al trabajo los lunes, incluso cuando trabajan desde casa. No tiene sentido lanzar un ataque un sábado cuando la gente no está trabajando y cuando el own de seguridad y los productos pueden responder a ese ataque antes de que llegue a los usuarios el lunes.

Las amenazas también varían según la región. En la EMEA (Europa, Medio Oriente, África), el infostealer más común y persistente visto por Lastline en marzo fue Lokibot. La popularidad de Lokibot puede atribuirse a la filtración del código fuente original en 2015, que desencadenó muchas variantes y ediciones compiladas implementadas por diferentes ciberdelincuentes.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

En los Estados Unidos, ningún infostealer ha dominado el patrón de ataque. Como Estados Unidos es un gran mercado con un solo idioma, los cibercriminales aparentemente tienden a desplegar todo tipo de ataques, desde keyloggers poco sofisticados hasta ladrones de múltiples etapas, según Lastline.

Finalmente, la mayoría de los infostealers detectados usan un «Malware como servicio«modelan y se venden a precios asequibles en la web oscura. El element principal que distingue una campaña de otra es la configuración en lugar del código. Los cibercriminales simplemente rediseñan las campañas de correo electrónico existentes para aprovechar nuevas áreas, como el coronavirus.

Ver también

«data-credit =» Imagen: Arkadiusz Warguła, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Hombre escribiendo en el teclado con alerta de virus detectado en la pantalla del holograma "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/11/6075ba7c-adee-47c4-ac1f-c23c35ab439a/resize/770x /3787b7ac012caaaf67cb9726973181c6/istock-1221761167.jpg

Imagen: Arkadiusz Warguła, Getty Illustrations or photos / iStockphoto



Enlace a la noticia unique