Hackers usan resultados falsos de pruebas de VIH como señuelo para infectar ordenadores y robar datos
Los hackers están usando resultados falsos de pruebas de VIH como señuelo para infectar ordenadores y robar datos personales en una campaña de phishing recientemente expuesta, dicen los investigadores de seguridad.
Los ataques basados en el correo electrónico contienen una herramienta de acceso remoto de código abierto que anteriormente estaba vinculada a grupos patrocinados por el Estado vinculados a China y Rusia, explicó hoy Sherrod DeGrippo, director principal del equipo de investigación y detección de amenazas de la organización cibernética Proofpoint, en una entrada de blog.
Los culpables, que siguen sin ser identificados, escupieron correos electrónicos mientras se hacían pasar por el Centro Médico de la Universidad de Vanderbilt, un hospital con sede en Nashville, Tennessee.
Los mensajes con trampa contienen Koadic, que es una herramienta de prueba de penetración que también puede ser utilizada para colarse en los ordenadores de las víctimas y robar archivos.
«Si tiene éxito y se instala Koadic, los atacantes pueden ejecutar programas y acceder a los datos de las víctimas, incluyendo información personal y financiera sensible», advirtió DeGrippo.
Proofpoint publicó una imagen del correo electrónico spam de los hackers en su análisis, mostrando cómo llegó con el asunto: «Resultado del análisis médico».
El cuerpo de texto del correo electrónico era breve y al punto, instando al destinatario a abrir un archivo Microsoft Excel malicioso que se hacía pasar por los resultados de una prueba de VIH. Si la víctima elegía habilitar las macros, como lo solicitaba un pop-up en su pantalla, el documento descargaba inmediatamente a Koadic.
«Originalmente, Koadic fue pensado como una herramienta de código abierto para los defensores de la red y permite al actor tomar el control completo del sistema de un usuario», escribió DeGrippo.
«En los últimos años ha sido utilizado por una variedad de actores del Estado nación, incluyendo grupos patrocinados por el Estado tanto chinos como rusos, así como atacantes asociados con Irán». En este caso, no hubo un grupo específico adscrito a la campaña, que fue descrito como de «bajo volumen».
En 2018, Palo Alto Networks sugirió que la misma herramienta de hacking había sido utilizada por Sofacy Group, que es una unidad de hacking rusa también conocida como Fancy Bear, Tsar Team y Pawn Storm.
«El grupo Sofacy ha aprovechado herramientas y exploits de código abierto o de libre acceso en el pasado, pero esta es la primera vez que la Unidad 42 los ha observado aprovechando el conjunto de herramientas de Koadic», dice su informe.
Fancy Bear, o APT 28, fue vinculado a los ataques cibernéticos en los EE.UU. como parte de los intentos de interferencia de Rusia en las elecciones presidenciales de 2016, dicen los expertos.
Anteriormente, los expertos encontraron evidencia de que los delincuentes en línea estaban usando el novedoso coronavirus (COVID-19) como señuelo de phishing, intentando explotar los temores que rodeaban al brote en curso.
«Esta última campaña sirve como un recordatorio de que los señuelos relacionados con la salud no comenzaron y no terminarán con los recientes señuelos temáticos del coronavirus que observamos», señaló DeGrippo en la entrada del blog de Proofpoint. «Son una táctica constante ya que los atacantes reconocen la utilidad del ‘factor miedo’.»
El investigador añadió: «Animamos a los usuarios a tratar los correos electrónicos relacionados con la salud con precaución, especialmente aquellos que afirman tener información sensible relacionada con la salud.
«La información delicada relacionada con la salud se suele transmitir de forma segura mediante portales de mensajería seguros, por teléfono o en persona. Si recibe un correo electrónico que afirma tener información sensible relacionada con la salud, no abra los archivos adjuntos. En su lugar, visite el portal de pacientes de su proveedor médico directamente, llame a su médico o haga una cita para confirmar directamente cualquier diagnóstico médico».