Las noticias constantes sobre la epidemia del Ébola en África Occidental aparecen en casi todos los medios a nivel mundial y de nuevo los cibercriminales utilizan los encabezados y noticias para atrapar a las víctimas. Symantec ha observado tres operaciones de malware relacionadas con una campaña de phishing (estafas cibernéticas) que están usando al virus del Ébola como tema en ingeniería social.
Malware y campañas de phishing
La primera campaña es muy simple. Los atacantes envían un correo electrónico con poco contenido en el cuerpo del texto del mensaje. El correo engaña a las víctimas con reporte falso sobre medidas preventivas para el virus del Ébola. Al abrirlo, lo que los usuarios obtienen es una infección mediante el Trojan.Zbot.
En la segunda campaña de malware los criminales cibernéticos envían correos haciéndose pasar por Etisalat, un proveedor de servicios de telecomunicaciones de los Emiratos Árabes Unidos, con presencia en 18 países del Medio Oriente, Asia y África. El mensaje supuestamente es una presentación sobre el virus del Ébola para educar a terceros cómo evitar la propagación de la enfermedad. Un archivo comprimido llamado “EBOLA-ETISALAT PRESENTATION.pdf.zip” está adjunto al mensaje, que supuestamente es la presentación, sin embargo lo que contiene es el malware identificado como Trojan.Blueso, mismo que se ejecuta en la computadora de la víctiva al abrir el archivo adjunto.
Imagen 1. Campaña de malware sobre el Ébola que usa Trojan.Blueso
Algo interesante es que la ejecución del Troyano no es lo único, pues además, el malware está diseñado para inyectar el virus W32.Spyrat en el navegador de la víctima para que realice las siguientes acciones:
- Grabar lo que se teclea
- Grabar desde la cámara web
- Hacer capturas de pantalla
- Crear procesos
- Abrir páginas web
- Enumerar archivos y folders
- Borrar archivos y folders
- Descargar y subir archivos
- Recopilar detalles sobre aplicaciones instaladas, la computadora y el sistema operativo
- Auto desinstalarse
La tercera campaña de malware está relacionada con noticias nuevas sobre el tema del Ébola. Durante las últimas dos semanas, se ha hablado sobre el Zmapp, una medicina que se encuentra en fase experimental y que al parecer, es efectiva para combatir la enfermedad. En esta campaña, los criminales cibernéticos envían un correo en el cual dicen que el virus del ébola ha sido curado y argumentan que la noticia debe ser compartida a todos. Lo único real es que todavía no hay cura, y lo que contiene el archivo adjunto del correo es el famoso virus Backdoor.Breut.
Imagen 2. Un correo electrónico malicioso atrae a los usuarios una cura falsa para el Ébola.
Finalmente, hay una campaña de phishing que se hace pasar un correo electrónico falso supuestamente proveniente de CNN, que ofrece información de “último minuto” sobre la epidemia del Ébola. Describe una versión corta de los antecedentes de la enfermedad e incluye ligas que supuestamente llevan a una historia en Internet que “no ha sido contada”. El correo electrónico también contiene otra liga, que en teoría muestra al usuario una lista de regiones de alto riesgo y métodos para prevenir la transmisión del virus.
Imagen 3. La campaña de phishing que utiliza a CNN como anzuelo
Si el usuario hace clic en cualquier liga del correo, es enviado a una página web que les pide seleccionar el proveedor de correo electrónico que utilizan, así como ingresar el nombre de usuario de su cuenta y contraseña. Si el usuario lo hace, sus credenciales serán enviadas directamente a los atacantes en línea, mientras que la víctima será enviada al sitio oficial de CNN.
Imagen 4. Los phishers intentan robar información a través de una página falsa de inicio de sesión
Symantec recomienda a los usuarios estar atentos cuando reciban correos electrónicos no solicitados, inesperados o sospechosos. Si no están seguros de la autenticidad de un mensaje, mejor no responderlo ni hacer clic en las ligas que contenga o abrir los archivos adjuntos.
Los clientes de Symantec que utilizan el servicio Symantec.Cloud están protegidos ante los mensajes de spam que contienen este malware. Para obtener la mejor protección, los clientes de Symantec deben asegurarse de utilizar las tecnologías que están incorporadas en las soluciones tanto para empresas, como para usuarios de casa.