Cadena masiva de infección de malware impulsada por hackers chinos utilizando temática sobre el Coronavirus

El objetivo final de esta cadena del COVID-19 es el de acceder a los sistemas informáticos de manera remota y robar información sensible.

Check Point Research, ha detectado un ciberataque organizado por un grupo APT chino de contra el Ministerio de Asuntos Exteriores de Mongolia. La compañía ha desvelado que este grupo, aprovechando el flujo de noticias y alerta general en torno a la expansión del Coronavirus, suplantó la identidad del Ministerio de Relaciones Exteriores de Mongolia y envío documentos adjuntos maliciosos a través de correos electrónicos a los funcionarios del país. El objetivo era persuadirles, utilizando mensajes centrados en la situación actual con respecto a este virus, para que dieran a los cibercriminales de este grupo acceso remoto a la red y dejaran una puerta abierta para el robo de información confidencial.  

Asimismo, los expertos de la compañía señalan que uno de los dos documentos relacionados con COVID-19, se titulaba “Sobre la propagación de nuevas infecciones de Coronavirus» e incluso citaba al Comité Nacional de Salud de China. Check Point pudo rastrear el ciberataque y detectar la autoría gracias a la extracción de las huellas dactilares que dejaron los crackers en el propio código del malware almacenado en sus servidores, que estuvieron al descubierto durante unos segundos en Internet. Gracias a esos datos, los investigadores pudieron descubrir el origen de la cadena, concluyendo que el grupo chino APT estuvo operando desde 2016 y tiene como objetivo habitual diversas entidades públicas y empresas de telecomunicaciones de distintos lugares del mundo: Rusia, Ucrania, Bielorrusia y ahora Mongolia.

¿Cómo han llevado a cabo esta campaña masiva de infección de malware?

Este grupo de cibercriminales infectaba los archivos adjuntos con un virus conocido como RoyalRoad, que descarga un archivo en la carpeta de inicio de Word para llevar a cabo una “técnica de persistencia”, que consiste en que cada vez que inicia esta aplicación, se inicia una cadena de infección en todos los archivos con extensión WLL. De esta forma, independientemente del archivo que se abra con Word, se produce la descarga de malware que infecta el equipo del usuario y permite acceder y robar grandes cantidades de información sensible

Por otra parte, el cibercriminal que se encuentra detrás de este ciberataque operaba el servidor C&C dentro de una ventana diaria limitada, poniéndose en línea sólo unas pocas horas cada día, lo que hace más difícil analizar y acceder a las partes avanzadas de la cadena de infección. Este hecho, pone de manifiesto cómo los cibercriminales aprovechan temáticas variadas para lanzar campañas masivas de ciberataques. Sin ir más lejos, la compañía señala que ha registrado más de 4.000 dominios relacionados con el Coronavirus en todo el mundo, y que estos dominios son un 50% más maliciosos que la media. 

«El COVID-19 no sólo representa una amenaza física, sino también una ciberamenaza. En este sentido, nuestra investigación pone de manifiesto que un grupo chino de APT aprovechó el interés público sobre todo lo relacionado con el Coronavirus para su propio beneficio, por lo cual decidieron utilizarlo como una novedosa cadena de infecciones informáticas«, señala Lotem Finkelsteen, jefe de Inteligencia de Amenazas de Check Point. «Además, hemos descubierto que este grupo no sólo ha estado atacando a Mongolia, sino también a otros países del mundo. Por tanto, desde Check Point señalamos que todas las empresas públicas y de telecomunicaciones a nivel mundial deberían proteger sus documentos y sitios web relacionados con el Coronavirus», añade Finkelsteen.

Claves para estar protegidos frente a este tipo de ciberamenazas

Aunque el objetivo de este grupo de cibercriminales eran funcionarios de instituciones públicas, desde Check Point advierten de que cualquier persona o empresa puede convertirse en una nueva víctima de este tipo de ataque informático. Por este motivo, desde la compañía señalan que “la prevención es la mejor medida de seguridad para combatir este tipo de ciberamenazas. Desconfiar de aquellos mensajes que provengan de remitentes desconocidos, así como no descargar archivos adjuntos ni pinchar en enlaces dentro del correo ayudará a proteger nuestros equipos e información y reducirá en gran medida la posibilidad de convertirse en una nueva víctima de estos grupos de cibercriminales”. 

Por otra parte, los expertos de Check Point aconsejan implementar herramientas de ciberseguridad en los dispositivos, ya que la prevención es la mejor manera de evitar riesgos. La compañía cuenta con SandBlast Mobile, una solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection. Al revisar y controlar todo el tráfico de red del dispositivo, SandBlast Mobile evita los ataques de robo de información en todas las aplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajería instantánea. Esta solución, además, evita tanto el acceso a sitios web maliciosos como el acceso y comunicación del dispositivo con botnets, para lo cual valida el tráfico en el propio dispositivo sin enrutar los datos a través de un gateway corporativo.