{"id":18162,"date":"2020-04-02T09:05:07","date_gmt":"2020-04-02T15:05:07","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18162"},"modified":"2020-04-02T09:05:07","modified_gmt":"2020-04-02T15:05:07","slug":"coronavirus-corporate-phishing-2","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/coronavirus-corporate-phishing-2\/18162\/","title":{"rendered":"Ciberataques contra las empresas: el coronavirus como se\u00f1uelo"},"content":{"rendered":"

Los mensajes de correo fraudulentos<\/strong> que imitan la correspondencia empresarial con archivos adjuntos maliciosos<\/a><\/strong> no son novedad. Los hemos observado en el tr\u00e1fico basura durante los \u00faltimos tres a\u00f1os. Cuanto m\u00e1s exacta es la falsificaci\u00f3n debido a las t\u00e9cnicas de ingenier\u00eda social<\/a><\/strong>,\u00a0 m\u00e1s alta es la probabilidad de que la v\u00edctima no sospeche nada.<\/p>\n

Este phishing<\/em><\/strong> (suplantaci\u00f3n de identidad) es especialmente peligroso para los empleados de las empresas de venta de mercanc\u00edas, porque los mensajes de correo con pedidos u \u00f3rdenes de compra son asunto de todos los d\u00edas. En ocasiones, incluso a alguien preparado para identificar una falsificaci\u00f3n no le ser\u00e1 f\u00e1cil establecer si un mensaje es phishing<\/a><\/em><\/strong> o una orden de compra leg\u00edtima de un cliente. Por lo tanto, la cantidad de correos convincentes pero falsos sigue en aumento. No son tan frecuentes como el spam<\/em> malicioso<\/strong> ordinario, pero ello se debe a que fueron dise\u00f1ados por un prop\u00f3sito particular y se enviaron a direcciones espec\u00edficas.<\/p>\n

En semanas pasadas, los cibercriminales<\/strong> han aprovechado el brote de coronavirus<\/a><\/strong> para darle a sus misivas una credibilidad adicional. Los mensajes de correo a menudo mencionan problemas de entrega relacionados con el virus, lo que invita al destinatario a preguntarse de qu\u00e9 entrega se trata. En otros casos, los ciberatacantes<\/strong> utilizan la pandemia para insistir en la necesidad de procesar un pedido<\/strong> urgente<\/strong>, puesto que sus socios habituales no pueden entregar los bienes a tiempo. En cualquier caso, el objetivo es hacer que la v\u00edctima abra un archivo adjunto malicioso<\/strong>. Como pretexto, se echa mano de trucos habituales<\/a> de phishing<\/em><\/strong>\u00a0<\/em> que normalmente solicitan revisar la informaci\u00f3n de env\u00edo, los detalles de pago, una orden de compra o las existencias del producto.<\/p>\n

Entrega atrasada<\/h2>\n

Los estafadores alegan que el COVID-19<\/a><\/strong> ha provocado que las entregas de bienes se pospongan. Son tan amables de incluir archivos adjuntos<\/strong> con la informaci\u00f3n de entrega<\/strong> actualizada, junto con nuevas indicaciones. En particular, preguntan si la fecha de entrega es adecuada, con lo cual instan al destinatario a abrir el archivo adjunto<\/strong>, que a primera vista tiene el aspecto de un recibo en formato PDF<\/a><\/strong>.<\/p>\n

\"\"<\/p>\n

Orden urgente<\/h2>\n

Los estafadores<\/strong> alegan que, debido al brote de coronavirus<\/a><\/strong>, sus proveedores chinos no pueden cumplir con sus obligaciones. Suena demasiado convincente bajo las actuales circunstancias. Para evitar decepcionar a sus clientes, supuestamente ellos buscan colocar con urgencia una orden de compra de bienes (que no detallan en la misiva) a la empresa adonde labora el destinatario. \u00bfQu\u00e9 negocio puede resistirse una oportunidad tan repentina?<\/p>\n

\"\"<\/p>\n

Pero \u00a1oh, sorpresa! Los archivos adjuntos no contienen dicha orden de compra, sino el archivo Backdoor.MSIL.NanoBot.baxo<\/strong>. Al iniciarlo, este ejecuta un c\u00f3digo malicioso<\/strong> dentro del proceso leg\u00edtimo de RegAsm.exe (de nuevo, en un intento por evadir los mecanismos de defensa). Esto provoca que los atacantes ganen acceso remoto<\/a><\/strong> a la computadora de la v\u00edctima.<\/p>\n

Otra orden de compra urgente<\/h2>\n

Esta es una variante de la anterior. De nuevo, el cibercriminal<\/strong> menciona que un proveedor chino ficticio est\u00e1 teniendo problemas con la entrega e investiga los costos y t\u00e9rminos de entrega para los bienes detallados en un archivo DOC adjunto<\/a><\/strong>.<\/p>\n

\"\"<\/p>\n

El uso de un archivo DOC<\/strong> tiene un motivo espec\u00edfico. Dentro se halla un exploit<\/a><\/em><\/strong> dirigido contra la vulnerabilidad<\/strong> CVE-2017-11882<\/strong> en Microsoft Word (nuestras soluciones la detectan como Exploit.MSOffice.Generic<\/strong>). Cuando lo abres, descarga y ejecuta el archivo Backdoor.MSIL.Androm.gen<\/strong>. El objetivo, como todas las puertas traseras<\/strong>, es ganar acceso al sistema infectado.<\/p>\n

\u00a1No hay tiempo que perder!<\/h2>\n

Este esquema est\u00e1 dirigido a empresas que est\u00e1n sufriendo interrupciones<\/strong> en el flujo de trabajo<\/strong> debido a la pandemia de coronavirus<\/strong> (que es de gran magnitud y sigue en aumento). Los estafadores<\/strong> presionan al destinatario para que act\u00fae, mientras que expresan la esperanza de que la empresa pueda continuar con el trabajo despu\u00e9s de las alteraciones causadas por el coronavirus<\/strong>.<\/p>\n

\"\"<\/p>\n

En lugar de la orden de compra<\/strong>, el archivo adjunto contiene un archivo malicioso: Trojan.Win32.Vebzenpak.ern<\/strong>. Al iniciarlo, este ejecuta un c\u00f3digo malicioso dentro del proceso leg\u00edtimo de RegAsm.exe. Nuevamente, el objetivo es darles a los atacantes acceso remoto a las m\u00e1quinas comprometidas.<\/p>\n

C\u00f3mo protegerte de los archivos adjuntos maliciosos enviados por correo electr\u00f3nico<\/h2>\n

Para evitar que los cibercriminales<\/strong> infiltren un troyano<\/strong> o instalen una puerta trasera<\/strong> bajo la forma de un archivo adjunto<\/strong>, sigue estos consejos:<\/p>\n