Correos de suplantación por COVID-19: adjuntos maliciosos

Es en momentos como este cuando el adversario aprovecha el miedo de la gente para difundir sus códigos malévolos. La ingeniería social y la suplantación de identidad consisten en engañar al usuario para que voluntariamente les permita alcanzar sus objetivos malignos.

Debido a la reciente propagación de esta enfermedad sin precedentes, el enemigo se está aprovechando del miedo de la sociedad para engañar a personas inocentes enviándoles correos de suplantación que aseguran tener la cura para el COVID-19 o que tienen cualquier otra vinculación con el virus.

A continuación, te mostraremos varios de los correos que hemos interceptado, así como adjuntos que están circulando en estos tiempos convulsos.

Cuidado con la cura falsa del coronavirus para China, Italia

El asunto de ese correo es «CORONA VIRUS CURE FOR CHINA,ITALY» (cura del coronavirus para China e Italia) e incita al usuario a que haga clic en un archivo adjunto llamado «CORONA TREATMENT.doc» (tratamiento del coronavirus) (sha256: 0b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be detectado como HEUR/Macro.Downloader.MRUX.Gen). Este adjunto es malicioso y contiene un archivo RTF con una hoja de Excel habilitada para macros.

Si analizamos en profundidad este documento, descubriremos que en realidad se trata de un archivo RTF con cinco objetos OLE incrustados que se ejecutan en el momento en que se abre el documento. Estos objetos pueden observarse al pie del documento, como se muestra en la siguiente imagen.

.

Este documento funciona como programa de descarga de primera etapa y se conecta a una URL remota que no estaba operativa en el momento en que se redactó este artículo, pero pudimos rastrear la URL hasta el siguiente ejecutable: Sha256: 81934e5965f655408e2c0125cac069e00d26a0c30fced893080fb9b089e26772 detectado como TR/AD.Hawkeye.yzerf.

Hawkeye es una familia de programas maliciosos de robo de credenciales a la que se conoce por haber sustraído datos de inicio de sesión de correo de clientes muy frecuentes, como Microsoft Outlook, Thunderbird, Gmail, Yahoo, Hotmail y muchos otros. También han robado contraseñas almacenadas en navegadores muy usados, como Mozilla Firefox, Google Chrome, Safari, Opera o Internet Explorer. Pueden usurpar contraseñas de redes sociales, clientes de correo basados en el navegador, etc.

Todos los objetos incrustados son los mismos documentos XLS con un código VBA habilitado para macros. Al abrir el documento, la ventana habitual de «Habilitar macros» nos invita a habilitar las macros, pero lo que cambia con este documento es que no puedes negarte.

Es como esos virus de antaño que abrían una nueva ventana cada vez que cerrabas la anterior. Lo hace exactamente cinco veces (el número de objetos Excel incrustados que contiene). La única forma de cerrar Office es deteniendo el proceso original de Microsoft Word y, después, el proceso de Microsoft Excel.

El código VBA es confuso y está repleto de líneas vacías, pero, como puedes ver en la siguiente imagen, hace referencia a una celda en particular (134, 8).

Esta celda contiene un texto incomprensible, como el de la siguiente cadena, que debe procesar el código malicioso para darle significado y, después, se ejecuta. El proceso de manipulación consiste en técnicas de conversión de cadenas muy conocidas.

Se crea una instancia Powershell a partir de la ejecución del código VBA y se desencadena el siguiente árbol de procesos; se descarga y se ejecuta la carga útil maliciosa de segunda etapa, y se ejecuta a su vez el ya citado Hawkeye, conocido ladrón de credenciales.

COVID-19: correo de suplantación dirigido a los usuarios canadienses

El próximo correo del que vamos a hablar tiene una temática similar, pero está diseñado especialmente para usuarios canadienses. Convence a los usuarios de que pulsen sobre un adjunto malicioso para acceder a un cheque aprobado por el primer ministro de Canadá por permanecer en casa mientras dure el brote pandémico y estar protegidos. Con el adjunto «COVID 19 Relief.doc» (sha256: dcaded58334a2efe8d8ac3786e1dba6a55d7bdf11d797e20839397d51cdff7e1 detectado como W97M/Dldr.eeq).

Otro ejemplo es un correo electrónico con el asunto «Detectamos en su sector la presencia de COVID-19 ( Corona virus ) intentamos comunicarnos via telefonica con usted»… El adjunto tiene el nombre «minsaludcomunicado.pdf» (sha256 df6a1c0438e73f8ef748fd436b4199cf79d76f92e493e02e1d0fa36152697c4a detectado como PHISH/PDF.npwef) y asegura provenir del Ministerio de Sanidad.

Dicen haber intentado contactar contigo por teléfono porque se ha dado un brote de coronavirus en tu zona y que el PDF adjunto, cuya contraseña es «salud», te protegerá del virus. Al pulsar sobre el archivo adjunto, encontramos un PDF de suplantación que nos pide que hagamos clic en el enlace.

 

La siguiente muestra insta al usuario a conectarse a esta URL (hxxps://acortaurl.com/minsaludprevencioncomunicadosoficiales_—ampquotquotpdf), que redirige a la víctima a otra URL (hxxp://download674.mediafire.com/6xcc3bfrq2ug/f3zewybq24cu5o9/minsaludcominuciado2340948prevencionciudadanapdf.zip). Este es un mecanismo muy habitual que usan los autores de programas maliciosos hoy en día para que la muestra maliciosa no sea detectada en los entornos de pruebas que descargan la carga presente en el enlace incrustado en el adjunto.

La muestra descargada es un archivo ZIP que solo se puede desencriptar al introducir la contraseña del cuerpo del mensaje mencionado anteriormente. La carga útil descubierta (sha256: 19e3d412c8c76d11d1b54ccc97e187c3576c886f3abc59e22faf3e98f563c9be detectada como TR/AD.MortyStealer.19e3d4), es un conocido bot de robo de credenciales. Para usurparlas, se aprovecha de una herramienta de código abierto denominada «Ave Maria». El objetivo de esta familia de programas maliciosos son las contraseñas guardadas en el navegador Mozilla Firefox y en el cliente Microsoft Outlook, un territorio mucho más restringido que el de la familia «Hawkeye» que mencionamos anteriormente. El uso de MortyStealer se le ha atribuido al grupo FIN7 APT.

En estos tiempos convulsos, los desarrolladores de programas maliciosos se aprovechan del miedo generalizado y del instinto de supervivencia para convencer a la gente de que pulse en enlaces o de que abran archivos adjuntos a los que no hubieran prestado atención en otras circunstancias menos desesperadas.

Desde Avira, te pedimos que no caigas en estas artimañas maliciosas y que compruebes siempre el origen de archivos y enlaces antes de ejecutarlos. Protégete en un mundo conectado.

Por investigadores Amr Elkhawas y Malina Rosu

Este artículo también está disponible en: InglésAlemánFrancésItalianoPortugués, Brasil

Avira, a company with over 100 million customers and more than 500 employees, is a worldwide leading supplier of self-developed security solutions for professional and private use. With more than 25 years of experience, the company is a pioneer in its field.