Noticias
Microsoft alerta de nuevas campañas de phishing alrededor del coronavirus
Hace solo unas horas, Microsoft Security Intelligence ha publicado un hilo en Twitter en el que alerta de dos nuevas campañas (sí, lo sé, ya casi todo el mundo ha perdido la cuenta) de phishing, en las que se emplea el coronavirus como gancho para intentar atraer a posibles víctimas a que descarguen el patógeno, comprometiendo así la seguridad de sus sistemas.
Según Microsoft, en el primer correo electrónico el atacante finge tener como origen el Centro para el Control de Enfermedades (CDC) con información actualizada sobre el virus, así como, traducido (el título del mensaje emplea las mayúsculas) «ANUNCIO DEL PLAN DE CONTINUIDAD EMPRESARIAL QUE COMIENZA EN MAYO DE 2020». Dicho de otra manera, combina en un solo mensaje las dos principales preocupaciones de muchas personas en la actualidad: la pandemia y sus repercusiones laborales y económicas. Varios elementos de esta campaña indican que está especialmente dirigida a usuarios profesionales, no particulares.
Por su parte, la segunda campaña detectada por Microsoft reproduce un esquema más habitual estos últimos tiempos, ya que emplea como señuelo eel simular ser una entidad pública o financiera que tiene pendiente realizar un pago a la víctima, y le solicita que facilite sus datos bancarios para que pueda recibir el dinero que le corresponde. Ambos correos electrónicos incluyen archivos adjuntos ARJ que contienen archivos ejecutables disfrazados de archivos PDF.
Lo que cuentan los técnicos de Microsoft es que, al abrirlos, con lo que se encontrarán las víctimas es, en realidad, con LokiBot, un «viejo» conocido que, tras conseguir colarse en un sistema, robará las credenciales de inicio de sesión guardadas de una variedad de navegadores, FTP, correo y servicios a los que se accede desde terminal. Una vez recopiladas todas las credenciales posibles, las enviará a los servidores de los atacantes, que las emplearán para acceder de manera ilícita a todos los sistemas y servicios protegidos por las mismas.
Recent campaigns that deliver Lokibot, one of the first malware families to use COVID-19 lures, are showing a slight shift in tone reflecting current conversations, with subject lines like «BUSINESS CONTINUITY PLAN ANNOUNCEMENT STARTING MAY 2020» pic.twitter.com/vahi8VAsry
— Microsoft Security Intelligence (@MsftSecIntel) May 13, 2020
Puede parecer sorprendente que, a estas alturas, sigan circulando campañas centradas en el coronavirus. Sin embargo tiene mucho sentido, ya que pasado el sentimiento de novedad, cada día hay más personas que empiezan a pensar en el medio y largo plazo, y a sentirse más preocupadas por las consecuencias de la pandemia. Es en este contexto donde los atacantes ven una oportunidad. Y, claro, nunca las desaprovechan.