En tiempos de crisis siempre hay oportunistas que tratan de aprovecharse de la situación. Esto también ocurre con la actual pandemia del coronavirus COVID19. De hecho, los expertos de Hornetsecurity observan cada vez más campañas que se desarrollan con bastante frecuencia. Actualmente, el porcentaje de correos electrónicos maliciosos que contienen enlaces usando el tema del coronavirus se está disparando.

A continuación, describiremos cómo la situación actual de crisis está sirviendo cada vez más a los ciberdelincuentes como gancho para el fraude, así como para la propagación de spam y malware.

 

 

En comparación con la cantidad total de correos electrónicos clasificados como maliciosos por Hornetsecurity, la cantidad de correos electrónicos que usan el tema del coronavirus sigue siendo pequeña, pero en aumento.

Para dar a los lectores una idea de cómo los ciberdelincuentes están explotando la crisis del coronavirus COVID19 con diversas actividades, el Security Lab de Hornetsecurity explicará a continuación algunas de sus observaciones diarias:

 

Análisis

Observaremos tres actividades:

– Scams
– Spam
– Malware

 

Sextorsiones chantajistas usando el COVID19 para sus estafas

En primer lugar, nos fijaremos en las estafas: una estafa que se mantiene en el tiempo es la sextorsión. En estas estafas de sextorsión, una víctima recibe un correo electrónico afirmando que su ordenador ha sido hackeado y que le han grabado en video mientras visitaba una web porno. Con el fin de evitar que este vídeo se comparta con los amigos y familiares de la víctima debe transferir una cantidad en criptomonedas (generalmente Bitcoin) a una dirección Bitcoin específica. Obviamente, el ordenador de la víctima no se ha visto comprometido y no se ha tomado ningún vídeo.

Un grupo de actividades fraudulentas que el Security Lab de Hornetsecurity viene observando y que está involucrado en tales estafas de sextorsión. Se ha hecho pasar por la OMS y pide a las víctimas donaciones usando como gancho el tema del coronavirus.

A continuación, puedes ver algunos de estos tipos de correos electrónicos fraudulentos:

 

 

Otro tipo de fraude que se está dando, es el de pedir Bitcoins con la excusa de que quieren proteger a la víctima para no propagar el virus:

 

En el siguiente gráfico se puede ver que el aumento de la actividad va relacionado a la estafa de la OMS que utiliza las direcciones Bitcoin 16gmYrbqMr4SZeA7SqNVmirhnhDG3maYPK y 13Rfk6FXkqswaYnqMys5BkiDvJbwVdL8TD (color azul y rojo) mientras que la estafa hacia arriba pidiendo BTC utiliza BTC utiliza BTC utiliza BTC utiliza 18P3S6DuNUpW2WLozsrrW6rRd6xh24Rc7N (en verde):

 

 

Se pueden observar, otros grupos de actividades que todavía siguen en su línea sin usar el tema del coronavirus. Pero ¿por qué las estafas clásicas de sextorsión siguen todavía en uso?

 

Spam de máscaras N95/FFP3 

A continuación, echamos un vistazo a los spammers. Estos grupos generalmente intentan vender los productos o servicios receptores, o intentan generar tráfico para sitios web (SEO ilícito) o aumentar el interés en las acciones (manipulación del mercado).

Aquí está claro qué productos relacionados con la crisis del coronavirus son propensos a spam – máscaras. Muchos de ellos:

 

El gráfico que aparece a continuación, muestra no sólo la diversidad de diferentes máscaras que se anuncian, sino que también el volumen general de estos correos electrónicos – no deseados – está aumentando:

 

 

Distribución masiva de Malware

Por último, pero no menos importante, las actividades que distribuyen malware también están monitorizando correos electrónicos relacionados con el tema del coronavirus. Por ello, presentamos información sobre un grupo de actividad de amenazas que se ha observado distribuyendo Formbook [1], Loki Bot [2], Agent Tesla [3] y AZORult [4] malware dentro de varios archivos (ZIP, RAR, ACE, ISO, GZ, …) como adjuntos a correos electrónicos.

Mientras que los expertos del Security Lab de Hornetsecurity han rastreado esta actividad, el 17 de marzo de 2020 algunos correos electrónicos pertenecientes a este grupo de actividades comenzaron a usar «Coronavirus» o «Covid-19» en el asunto o en los nombres de los archivos adjuntos. Esta tendencia sigue aumentando, como se puede ver en el siguiente gráfico, que muestra los correos electrónicos de este grupo de actividades. Los que no usan el tema del coronavirus aparecen en verde y correos electrónicos que usan el tema de coronavirus, aparecen en rojo:

 

 

Conclusión y reparación

En general, el riesgo de amenaza que tienen este tipo de actividades para la economía es el mismo que antes de la crisis. Los ciberdelincuentes siguen utilizando los mismos esquemas y mecanismos.

Sin embargo, es muy probable que las víctimas potenciales sean más propensas a caer en las prácticas fraudulentas en vista de la situación actual. Otro aspecto que no debe descuidarse es que los correos electrónicos que abordan temas sensibles en tiempos de crisis también abordan los aspectos psicológicos de sus víctimas e incluso pueden agregar una tensión adicional sobre ellas.

Un buen sistema de filtrado de correo electrónico debe evitar que estos correos electrónicos lleguen a los buzones de los usuarios finales, independientemente de si contienen una referencia al coronavirus o no.

Spam and Malware Protection de Hornetsecurity ofrece las tasas de detección más altas del mercado con una detección de spam garantizada del 99,9 % y una detección de virus del 99,99 %. Esto significa que incluso los oportunistas que quieren explotar la crisis del coronavirus no tienen posibilidad alguna de colarse en los buzones de los usuarios finales y causar daños.

 

Referencias: