Los cibercriminales no se detienen ante nada para aprovecharse de cada oportunidad , y sobre la propagación de SARS-COV-II (el virus), que causa COVID-19 (la enfermedad).

Es la tormenta perfecta para que los cibercriminales aprovechen para acelerar que se propague su malware o inicien ataques cibernéticos .

En este caso concreto, el ataque de malware apunta específicamente a aquellos que buscan presentaciones cartográficas de la propagación de COVID-19 en sus búsquedas de Internet, y los engaña para que descarguen y ejecuten una aplicación que, en su interfaz, muestra un mapa cargado desde un archivo legítimo fuente en línea pero en esa aplicación en realidad es malware y lo que está haciendo es comprometer su dispositivo.

Está diseñada para robar información de sus víctimas, fue descubierta por primera vez por MalwareHunterTeam ( web https://malwarehunterteam.com/ ) la semana pasada y ahora ha sido analizada por Shai Alfasi, investigadora de seguridad cibernética en Reason Labs. https://labs.reasonsecurity.com/

Se trata de un malware identificado como AZORult un software malicioso que roba información descubierto en 2016. El malware AZORult recopila información almacenada en navegadores web, particularmente cookies, historiales de navegación, ID de usuario, contraseñas e incluso claves de criptomonedas.

Con estos datos extraídos de los navegadores, los ciberdelincuentes pueden robar números de tarjetas de crédito, credenciales de inicio de sesión y otra información confidencial.

Según los informes, AZORult se discute en foros rusos como una herramienta para recopilar datos confidenciales de las computadoras, y que su vez, viene con una variante que es capaz de generar una cuenta de administrador oculta en las computadoras infectadas para permitir conexiones a través del protocolo de escritorio remoto (RDP).

El archivo descargado se llama Corona-virus-Map.com.exe aunque no descartamos que tenga otros nombres. Es un pequeño archivo Win32 EXE con un tamaño de carga útil de solo alrededor de 3,26 MB. y emplea un programador de tareas para que pueda seguir funcionando incluso cuando cerramos el proceso.

Al hacer doble clic en el archivo, se abre una ventana que muestra diversa información sobre la propagación de COVID-19.

La pieza central es un mapa de infecciones similar al presentado por la Universidad Johns Hopkins , una fuente legítima en línea para visualizar y rastrear casos de coronavirus reportados en tiempo real y que aquí tenéis su link oficial:

https://coronavirus.jhu.edu/map.html

Otros signos de infección al ejecutar Corona-virus-Map.com.exe da como resultado la creación de duplicados del archivo Corona-virus-Map.com.exe y múltiples Corona.exe, Bin.exe, Build.exe y Windows.Globalization.Fontgroups.exe.

Además, el malware modifica un puñado de registros en ZoneMap y LanguageList.

La ejecución del malware activa los siguientes procesos: Bin.exe, Windows.Globalization.Fontgroups.exe y Corona-virus-Map.com.exe. Estos intentan conectarse a varias URL.

Estos procesos son solo una muestra de lo que implica el ataque ya que hay muchos otros archivos generados y procesos iniciados.

Crean diversas actividades de comunicación de red a medida que el malware intenta recopilar diferentes tipos de información.

Alfasi investigador que detecto el malware, informó detalladamente de cómo diseccionó el malware en una publicación de blog en el blog Reason Security. Podéis consultarlo para  más detalle: https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/

Y puede sonar promocional, pero Alfasi sugiere el software Reason Antivirus como la solución para reparar dispositivos infectados y evitar nuevos ataques, y es que trabaja para Reason Security después de todo.

Lo más lógico es pensar que el resto de empresas de ANTIVIRUS tengan ya diseñado sus detecciones y vacunas, por lo que no está de más actualizar nuestros antivirus, pero os recordamos antes que la mejor prevención es una navegación responsable