{"id":22268,"date":"2020-03-31T15:15:58","date_gmt":"2020-03-31T13:15:58","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22268"},"modified":"2020-03-31T15:22:30","modified_gmt":"2020-03-31T13:22:30","slug":"coronavirus-corporate-phishing-2","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/coronavirus-corporate-phishing-2\/22268\/","title":{"rendered":"El coronavirus como cebo para empresas"},"content":{"rendered":"

Los mensajes de correo que imitan la correspondencia empresarial con archivos adjuntos maliciosos no son ninguna novedad. Hemos estado vi\u00e9ndolos en el tr\u00e1fico de spam durante los \u00faltimos tres a\u00f1os. Cuanto m\u00e1s precisa es la falsificaci\u00f3n, m\u00e1s alta es la probabilidad de que la v\u00edctima no sospeche nada.<\/p>\n

Este phishing<\/em> es especialmente peligroso para los empleados de las empresas que venden productos, ya que reciben a diario correos con solicitudes u \u00f3rdenes de compra. Incluso para alguien preparado para identificar una falsificaci\u00f3n no le ser\u00e1 f\u00e1cil determinar si un mensaje es phishing<\/em> o una orden de compra leg\u00edtima de un cliente. Por ello la cantidad de correos convincentes, aunque falsos, sigue en aumento. Aunque no son tan frecuentes como el spam<\/em> malicioso com\u00fan, ya que se dise\u00f1an con un prop\u00f3sito particular y se env\u00edan a direcciones espec\u00edficas.<\/p>\n

Estas \u00faltimas semanas, los estafadores han aprovechado el brote del coronavirus para dotar sus correos de una credibilidad adicional. A menudo los mensajes mencionan problemas de entrega relacionados con el virus, lo que invita al destinatario a preguntarse de qu\u00e9 entrega se trata. En otros casos, los atacantes utilizan la pandemia para insistir en la necesidad de procesar una solicitud urgente, ya que sus socios habituales no pueden entregarles los productos a tiempo. En cualquier caso, el objetivo es hacer que la v\u00edctima abra un archivo adjunto malicioso. Como pretexto, recurren a trucos habituales que normalmente solicitan revisar la informaci\u00f3n de env\u00edo, los detalles de pago, una orden de compra o las existencias del producto.<\/p>\n

A continuaci\u00f3n, te dejamos algunos ejemplos espec\u00edficos de este tipo de phishing<\/em> y de los riesgos que entra\u00f1a.<\/p>\n

Retraso en la entrega<\/h2>\n

Los estafadores alegan que el COVID-19 ha provocado que las entregas de bienes se pospongan. Son tan amables de incluir archivos adjuntos con la informaci\u00f3n de entrega actualizada, junto con nuevas indicaciones. En particular, preguntan si la fecha de entrega es adecuada, con lo que instan al destinatario a abrir el archivo adjunto, que a simple vista tiene el aspecto de un archivo PDF.<\/p>\n

\"\"Pero en lugar de un recibo, dentro hay un instalador NSIS que ejecuta un script malicioso. Entonces el script inicia un proceso est\u00e1ndar cmd.exe y ejecuta un c\u00f3digo malicioso a trav\u00e9s de \u00e9l. De esta forma, el c\u00f3digo se ejecuta en el contexto de un proceso leg\u00edtimo, consiguiendo as\u00ed evadir los mecanismos de defensa est\u00e1ndares. El objetivo final es espiar las acciones del usuario. Nuestros productos de seguridad para correo electr\u00f3nico identificaron esta amenaza como Trojan-Spy.Win32.Noon.gen.<\/p>\n

Orden urgente<\/h2>\n

Los estafadores alegan que, debido al brote del coronavirus, sus proveedores chinos no pueden cumplir con sus obligaciones. Suena demasiado convincente en estas circunstancias. Para evitar decepcionar a sus clientes, supuestamente buscan colocar con urgencia una orden de compra de bienes (que no detallan en el mensaje) a la empresa en la que trabaja el destinatario. \u00bfQu\u00e9 negocio puede resistirse una oportunidad tan repentina?<\/p>\n

\"\"<\/p>\n

Pero \u00a1oh, sorpresa! Los archivos adjuntos no contienen dicha orden de compra, sino el archivo Backdoor.MSIL.NanoBot.baxo<\/strong>. Al iniciarlo, este ejecuta un c\u00f3digo malicioso dentro del proceso leg\u00edtimo de RegAsm.exe (de nuevo, en un intento de evadir los mecanismos de defensa). Esto provoca que los atacantes consigan acceso remoto al ordenador de la v\u00edctima.<\/p>\n

Otra orden de compra urgente<\/h2>\n

Esta es una variante de la anterior. De nuevo, el estafador menciona que un proveedor chino ficticio est\u00e1 teniendo problemas con la entrega e investiga los costes y t\u00e9rminos de entrega para los bienes detallados en un archivo DOC adjunto.<\/p>\n

\"\"<\/p>\n

El uso de un archivo DOC tiene un motivo. Dentro incluye un exploit<\/em> dirigido contra la vulnerabilidad CVE-2017-11882 en Microsoft Word (nuestras soluciones la detectan como Exploit.MSOffice.Generic<\/strong>). Cuando lo abres, descarga y ejecuta el archivo Backdoor.MSIL.Androm.gen<\/strong>. El objetivo, como todas las puertas traseras, es ganar acceso al sistema infectado.<\/p>\n

\u00a1No hay tiempo que perder!<\/h2>\n

Esta estrategia est\u00e1 dirigida a empresas que est\u00e1n sufriendo interrupciones en el flujo de trabajo debido a la pandemia del coronavirus (que es de gran magnitud y sigue en aumento). Los estafadores presionan al destinatario para que act\u00fae, mientras que expresan la esperanza de que la empresa pueda continuar con el trabajo despu\u00e9s de las alteraciones causadas por el coronavirus.<\/p>\n

\"\"<\/p>\n

En lugar de la orden de compra, el archivo adjunto contiene Trojan.Win32.Vebzenpak.ern<\/strong>. Al iniciarlo, este ejecuta un c\u00f3digo malicioso dentro del proceso leg\u00edtimo de RegAsm.exe. Nuevamente, el objetivo es conceder a los atacantes acceso remoto a las m\u00e1quinas comprometidas.<\/p>\n

C\u00f3mo protegerte de los archivos adjuntos maliciosos en los correos electr\u00f3nicos<\/h2>\n

Para evitar que los ciberdelincuentes introduzcan un troyano o una puerta trasera bajo la forma de un archivo adjunto, sigue estos consejos:<\/p>\n