Noticias
No, el Johns Hopkins Center no te ha enviado un Excel sobre el coronavirus
En estos tiempos de pandemia, el Johns Hopkins Center se ha convertido en una de las instituciones más referenciadas y mejor valoradas por la sociedad. Y no faltan razones para ello, puesto que su centro de recursos relacionados con el coronavirus y, especialmente, el emapa de seguimiento de la evolución de la pandemia en todo el mundo se han convertido en una referencia constante al hablar de la enfermedad. Así, ahora el nombre de la institución ha ido ganando popularidad entre el gran público de manera constante.
Esta, claro, es una circunstancia que no se les ha escapado a los ciberdelincuentes que,, ya sabemos, son expertos en aprovechar todos los recursos a su alcance para desarrollar nuevas y más efectivas campañas de ataques. Campañas que, afortunadamente, son detectadas rápidamente por empresas y laboratorios de seguridad, evitando que instituciones como el Johns Hopkins Center vea manchada su imagen, y que los usuarios vean comprometida su seguridad por confiar en lo que, pensaban, era una comunicación legítima por parte de estas institución.
A ese respecto, Microsoft Security Intelligence ha publicado, en su cuenta de Twitter, un hilo en el que alerta sobre una campaña de phishing con la temática del coronavirus. El ataque comienza con correos electrónicos que fingen ser del Johns Hopkins Center, que estaría enviando una actualización sobre la cantidad de muertes relacionadas con la pandemia que hay en los Estados Unidos.
El propio correo electrónico, per se, no ejerce acciones nocivas, pero tampoco muestra la información que se indica. En su lugar, incluye un archivo de Excel titulado ‘covid_usa_nyt_8072.xls’, que cuando se abre, muestra un cuadro que muestra el número de muertes en los EE. UU. según los datos del New York Times. La referencia al prestigioso diario pretende sumar la credibilidad del mismo a la del Johns Hopkins Center, con la evidente finalidad de que la potencial víctima sea más laxa en sus controles de seguridad, y que el interés/curiosidad por los datos pese más que la cautela.
We’re tracking a massive campaign that delivers the legitimate remote access tool NetSupport Manager using emails with attachments containing malicious Excel 4.0 macros. The COVID-19 themed campaign started on May 12 and has so far used several hundreds of unique attachments. pic.twitter.com/kwxOA0pfXH
— Microsoft Security Intelligence (@MsftSecIntel) May 18, 2020
El documento, como ya habrás imaginado, requiere que el usuario permita el uso de macros, necesario en teoría para mostrar correctamente la información. Unas macros que, en realidad, lo que hacen es descargar NetSupport Manager es una herramienta de administración remota (RAT) legítima, pero que suele ser empleada de manera común por los ciberdelincuentes a modo de troyano, para hacerse con el control de los sistemas infectados.
La versión de NetSuport empleada en esta campaña añade diversos componentes al sistema, incluidos varios archivos .dll, .ini y otros archivos .exe, un VBScript y un script PowerShell ofuscado basado en PowerSploit. Además, se conecta a un servidor C2, lo que permite a los atacantes enviar comandos adicionales. Así, debemos verlo como un ataque con un potencial enorme, pues pone tanto el sistema como todo su contenido y actividades en la mano de los atacantes.