{"id":820,"date":"2020-03-27T14:35:39","date_gmt":"2020-03-27T14:35:39","guid":{"rendered":"https:\/\/antivirus.com.do\/?p=820"},"modified":"2020-03-27T15:12:36","modified_gmt":"2020-03-27T15:12:36","slug":"coronavirus-como-un-gancho","status":"publish","type":"post","link":"https:\/\/antivirus.com.do\/?p=820","title":{"rendered":"Coronavirus como un gancho"},"content":{"rendered":"

Contamos c\u00f3mo los phishers est\u00e1n explotando el susto del coronavirus para atacar a las empresas e instalar malware.<\/p>\n

\"\"<\/p>\n

Los correos electr\u00f3nicos que imitan la correspondencia comercial con archivos adjuntos maliciosos no son nada nuevo. Los hemos estado observando en el tr\u00e1fico basura durante los \u00faltimos tres a\u00f1os al menos. Cuanto m\u00e1s precisa sea la falsificaci\u00f3n, mayor ser\u00e1 la probabilidad de que la v\u00edctima no sospeche nada.<\/p>\n

Tal phishing es especialmente peligroso para los empleados de compa\u00f1\u00edas que venden productos, porque los correos electr\u00f3nicos con solicitudes de entrega o pedidos son corrientes. Incluso alguien capacitado para detectar una falsificaci\u00f3n a veces puede tener dificultades para determinar si un mensaje es phishing o una orden leg\u00edtima de un cliente. Por lo tanto, el n\u00famero de correos electr\u00f3nicos convincentes pero falsos sigue creciendo. No se encuentran con tanta frecuencia como el spam malicioso tradicional, pero eso se debe a que est\u00e1n dise\u00f1ados para un prop\u00f3sito espec\u00edfico y se env\u00edan a direcciones espec\u00edficas.
\nEn las \u00faltimas semanas, los estafadores han estado explotando el brote de coronavirus para darles a sus misivas credibilidad adicional. Los correos electr\u00f3nicos a menudo citan problemas de entrega relacionados con virus, lo que lleva al destinatario a preguntarse de qu\u00e9 entrega est\u00e1n hablando. En otros casos, los atacantes usan la pandemia para presionar la necesidad de procesar una solicitud con urgencia porque sus socios habituales no pueden entregar los productos a tiempo. Cualquiera sea el caso, el objetivo es lograr que la v\u00edctima abra un archivo adjunto malicioso. Los trucos est\u00e1ndar se usan como pretexto, generalmente implican una solicitud para verificar los detalles de env\u00edo, los datos de pago, un pedido o la disponibilidad del producto.<\/p>\n

A continuaci\u00f3n se presentan algunos ejemplos espec\u00edficos de este tipo de phishing y los riesgos involucrados.<\/p>\n

Entrega tard\u00eda<\/strong><\/p>\n

Los estafadores escriben que Covid-19 ha provocado la postergaci\u00f3n de la entrega de algo. Adjuntan amablemente la informaci\u00f3n de entrega actualizada, junto con nuevas instrucciones. En particular, preguntan si el tiempo de entrega es adecuado, lo que hace que el destinatario abra el archivo adjunto, que a primera vista parece una factura en formato PDF.<\/p>\n

 <\/p>\n

\"\"<\/p>\n

Pero en lugar de una factura, dentro hay un instalador NSIS que ejecuta un script malicioso. El script inicia un proceso cmd.exe est\u00e1ndar y ejecuta c\u00f3digo malicioso a trav\u00e9s de \u00e9l. De esa forma, el c\u00f3digo se ejecuta en el contexto de un proceso leg\u00edtimo, sin pasar por los mecanismos de defensa est\u00e1ndar. El objetivo final es espiar las acciones del usuario. Nuestros productos de seguridad de correo electr\u00f3nico detectan esta amenaza como Trojan-Spy.Win32.Noon.gen.<\/p>\n

Orden de acometida<\/strong><\/h2>\n

Los estafadores afirman que debido al brote de coronavirus, sus proveedores chinos no pueden cumplir con sus obligaciones. Suena bastante convincente en las circunstancias actuales. Para evitar decepcionar a sus clientes, supuestamente buscan realizar un pedido urgente de algunos productos (no especificados en la carta) de la compa\u00f1\u00eda donde trabaja el destinatario. \u00bfQu\u00e9 negocio puede resistir una oportunidad tan repentina?<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Sorpresa, sorpresa, el archivo adjunto no contiene ese orden, pero Backdoor.MSIL.NanoBot.baxo . Cuando se inicia, ejecuta c\u00f3digo malicioso dentro del proceso leg\u00edtimo RegAsm.exe (nuevamente en un intento de eludir los mecanismos de defensa). Esto da como resultado que los atacantes obtengan acceso remoto a la computadora de la v\u00edctima.<\/p>\n

Otro pedido urgente<\/strong><\/h2>\n

Esta es una variaci\u00f3n de lo anterior. Una vez m\u00e1s, el estafador menciona que un proveedor chino ficticio est\u00e1 teniendo problemas de entrega y pregunta sobre los precios y los t\u00e9rminos de entrega de los productos enumerados en un archivo DOC adjunto.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Un archivo DOC se utiliza por un motivo espec\u00edfico. Inside es un exploit dirigido a la vulnerabilidad CVE-2017-11882 en Microsoft Word (nuestras soluciones lo detectan como Exploit.MSOffice.Generic ). Cuando se abre, descarga y ejecuta Backdoor.MSIL.Androm.gen . El objetivo, como todas las puertas traseras, es obtener acceso remoto al sistema infectado.<\/p>\n

\u00a1No hay tiempo que perder!<\/strong><\/h2>\n

Este esquema est\u00e1 dirigido a empresas que est\u00e1n experimentando interrupciones en el flujo de trabajo debido a la pandemia de coronavirus (un grupo bastante grande y en crecimiento). Los estafadores presionan al receptor para que act\u00fae, mientras expresan la esperanza de que la compa\u00f1\u00eda pueda reanudar el trabajo despu\u00e9s de la interrupci\u00f3n del coronavirus.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

En lugar de un pedido, el archivo adjunto contiene Trojan.Win32.Vebzenpak.ern . Cuando se inicia, ejecuta c\u00f3digo malicioso dentro del proceso leg\u00edtimo RegAsm.exe. El objetivo es nuevamente proporcionar a los atacantes acceso remoto a la m\u00e1quina comprometida.
\nC\u00f3mo protegerse contra archivos adjuntos de correo electr\u00f3nico malicioso
\nPara evitar que los delincuentes cibern\u00e9ticos te resbalen un troyano o una puerta trasera en forma de archivo adjunto, sigue estos consejos:<\/p>\n

\u2022 Examine cuidadosamente las extensiones de los archivos adjuntos. Si es un ejecutable, las posibilidades de que no sea seguro son cercanas al 100%.
\n\u2022 Compruebe si la empresa emisora existe realmente. En estos d\u00edas, incluso las empresas m\u00e1s peque\u00f1as tienen una presencia en l\u00ednea (por ejemplo, cuentas de redes sociales). Si no encuentras nada, no hagas nada; De cualquier manera, probablemente no valga la pena hacer negocios con una empresa as\u00ed.
\n\u2022 Compruebe si los detalles en el campo del remitente y la firma autom\u00e1tica coinciden. Por extra\u00f1o que parezca, los estafadores a menudo pasan por alto este detalle.
\n\u2022 Recuerde que los ciberdelincuentes pueden obtener informaci\u00f3n sobre su “empresa” de fuentes abiertas. Entonces, si tiene dudas, aunque el correo electr\u00f3nico parece contener informaci\u00f3n de buena fe, comun\u00edquese con la empresa para confirmar que le enviaron el mensaje.
\n\u2022 Lo m\u00e1s importante, aseg\u00farese de que su empresa utilice una soluci\u00f3n de seguridad confiable tanto en las estaciones de trabajo como en el nivel del servidor de correo<\/a> . Y aseg\u00farese de que se actualiza regularmente y utiliza bases de datos actualizadas. De lo contrario, puede ser dif\u00edcil determinar si un archivo adjunto de correo electr\u00f3nico es perjudicial, especialmente con respecto a los documentos de Office.<\/p>\n","protected":false},"excerpt":{"rendered":"

Contamos c\u00f3mo los phishers est\u00e1n explotando el susto del coronavirus para atacar a las empresas e instalar malware. Los correos electr\u00f3nicos que imitan la correspondencia comercial con archivos adjuntos maliciosos no son nada nuevo. Los hemos estado observando en el tr\u00e1fico basura durante los \u00faltimos tres a\u00f1os al menos. Cuanto m\u00e1s precisa sea la falsificaci\u00f3n, […]<\/p>\n","protected":false},"author":2,"featured_media":824,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[25,46,47,48,27,49],"class_list":["post-820","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-antivirus","tag-coronavirus","tag-correos","tag-homework","tag-proteccion","tag-teletrabajo"],"_links":{"self":[{"href":"https:\/\/antivirus.com.do\/index.php?rest_route=\/wp\/v2\/posts\/820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/antivirus.com.do\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/antivirus.com.do\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/antivirus.com.do\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/antivirus.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=820"}],"version-history":[{"count":4,"href":"https:\/\/antivirus.com.do\/index.php?rest_route=\/wp\/v2\/posts\/820\/revisions"}],"predecessor-version":[{"id":831,"href":"https:\/\/antivirus.com.do\/index.php?rest_route=\/wp\/v2\/posts\/820\/revisions\/831"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/antivirus.com.do\/index.php?rest_route=\/wp\/v2\/media\/824"}],"wp:attachment":[{"href":"https:\/\/antivirus.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/antivirus.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/antivirus.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}