El malware de coronavirus explota los temores globales de COVID-19 para infectar dispositivos y robar datos

Dublín, Irlanda, 20 de marzo de 2020 - Mientras el Coronavirus continúa su rápida propagación, los usuarios de Internet temen entrar en contacto con el virus y están ansiosos por obtener más información sobre el brote de coronavirus. Los cibercriminales aprovechan la pandemia del coronavirus (COVID-19) y aprovechan los temores de las personas vulnerables para propagar malware. Varios ataques cibernéticos y cepas de malware temáticas después de COVID-19 se han extendido por diferentes partes del mundo en los últimos días.

Se cree que una amenaza persistente avanzada (APT) está detrás del ataque dirigido de marzo de 2020 denominado 'Vicious Panda' que también estaba propagando malware de coronavirus. El ataque 'Vicious Panda' utilizó correos electrónicos de phishing dirigidos a instituciones gubernamentales de Mongolia. Los correos electrónicos venían con archivos adjuntos RTF que supuestamente contenían información importante sobre el coronavirus. La carga útil contenida en los archivos adjuntos RTF maliciosos era una versión de la herramienta de malware RoyalRoad. A menudo asociada con actores de amenazas chinos, la herramienta utiliza vulnerabilidades del editor de ecuaciones en MS Word.

El malware de Coronavirus tomó muchas formas diferentes en un corto período de tiempo. A mediados de marzo de 2020, apareció una nueva variedad de ransomware en la naturaleza, llamada CoronaVi2020. Distribuido principalmente a través de correos electrónicos no deseados y archivos adjuntos maliciosos, el ransomware CoronaVi2020 solicita un rescate relativamente modesto de 0.008 BTC (aproximadamente 50 USD) y parece estar dirigido a usuarios domésticos regulares en lugar de corporaciones e instituciones gubernamentales. El ransomware afecta a los tipos de archivos más comunes, incluidas imágenes, bases de datos y archivos de oficina, y el ransomware agrega el correo electrónico de su autor, coronaVi2022 [at] protonmail [dot] ch, delante de los archivos afectados.

El ransomware Coronavirus también fue visto incluido con el troyano Kpot, un ladrón de información. Un sitio malicioso estaba distribuyendo un ejecutable llamado WSHSetup.exe que era efectivamente un paquete que transportaba tanto el ransomware coronavirus como el troyano Kpot. Kpot puede extraer información de la cuenta de varios navegadores web, cuentas de correo electrónico, billeteras de criptomonedas y clientes de distribución de juegos.

Junto con el ransomware CoronaVi2022 de escritorio, los teléfonos fueron golpeados por una aplicación maliciosa que se hizo pasar por un rastreador de coronavirus. El malware móvil actuó más o menos como ransomware, bloqueando el teléfono y pidiendo $ 250 en rescate. Afortunadamente, el ransomware móvil fue un trabajo apresurado a pesar de sus mensajes muy amenazantes para la víctima. Los investigadores de seguridad pudieron encontrar una llave universal codificada en el casillero. Cualquiera que tenga el ransomware rastreador de coronavirus móvil puede desbloquear su teléfono usando el código '4865083501'. El descubrimiento fue realizado por el equipo de investigación de seguridad de DomainTools.

El repentino aumento en el malware de coronavirus también volvió a hacer que algunas amenazas antiguas fueran tópicas. El ladrón de información AZORult que se estrenó en 2016 volvió a aparecer en los titulares, después de que se utilizó en un mapa falso en línea de seguimiento de la infección y la mortalidad de COVID-19. El mapa real es mantenido por el centro de ciencia e ingeniería de la Universidad Johns Hopkins y está alojado en un dominio completamente diferente. El sitio malicioso que alberga el mapa falso copió perfectamente su estilo visual, pero también distribuyó una carga útil llamada 'corona.exe' que contiene AZORult y raspa sistemas de víctimas para billeteras de criptomonedas y cuentas de Steam, entre otros. El dominio que albergaba el mapa en línea malicioso ha sido eliminado.

La mejor forma en que los usuarios domésticos pueden mantenerse seguros y proteger sus sistemas del malware de coronavirus es descargar solo archivos de sitios confiables, nunca hacer clic en ningún enlace no solicitado y verificar la barra de direcciones de su navegador para ver si la URL está escrita correctamente y señala a lo que esperan.

Con los casos reales de COVID-19 comenzando a crecer exponencialmente en varios países nuevos, los usuarios de computadoras deben esperar que los hackers continúen aprovechando esta crisis de salud global.

Sobre EnigmaSoft Limited

EnigmaSoft Limited es una empresa irlandesa de propiedad privada con oficinas y sedes globales en Dublín, Irlanda. EnigmaSoft es mejor conocido por desarrollar y distribuir SpyHunter, un producto y servicio de software antimalware. SpyHunter detecta y elimina malware, mejora la privacidad de Internet y elimina las amenazas de seguridad , abordando problemas como malware, ransomware, troyanos, anti-spyware malicioso y otras amenazas de seguridad maliciosas que afectan a millones de usuarios de PC en la web.