Los ciberdelincuentes están aprovechado la pandemia de laCovid-19 para utilizarla como el "gancho" de sus ataques mientrassiguen explotando técnicas de ingeniería social para acceder a sus víctimas.
Algunas investigaciones públicas han apuntado a que hay varios grupos APT de origen chino que, en los últimos meses, han adoptado cebos sobre el coronavirus para lanzar campañas de espionaje a distintos objetivos ya establecidos y otros en expansión.
De hecho, el pasado mes de marzo, la compañía de ciberseguridad Proofpoint detectó una de estas campañas en las que los ciberdelincuentes enviaban unas supuestas directrices de la Organización Mundial de la Salud (OMS) para hacer frente a esta enfermedad.
Sin embargo, en realidad trataban de distribuir una nueva familia de malware, a la que los investigadores han denominado Sepulcher, entre organismos diplomáticos y legislativos europeos, centros de investigación sin ánimo de lucro sobre políticas y organizaciones globales de asuntos económicos.
Según ha explicado Proofpoint, las cuentas desde las que se enviaban estos mensajes apuntaban a que el autor de la amenaza era el grupo TA413 a pesar de que, hasta entonces, su actividad había estado ligada a históricas campañas en contra de la diáspora tibetana.
"Así, desviándose de su blanco habitual de ataques, este grupo de ciberespionaje asociado a los intereses del gobierno chino recurrió al exitoso gancho de la Covid-19 para recopilar información acerca de la salud de las economías occidentales en mitad de la pandemia, aprovechándose de la situación de urgencia mundial para atraer a sus víctimas con un nuevo malware lejos de definirse como innovador", declara la compañía de ciberseguridad.
Asimismo, esta indica que los correos electrónicos pertenecientes a esta campaña contenían un archivo adjunto en formato de texto enriquecido (RTF) que simulaba ser el documento titulado Critical preparedness, readiness and response actions for COVID-19 (Interim guidance), que la OMS publicó inicialmente el pasado 7 de marzo.
Los ciberdelincuentes comenzaron a difundir dicho adjunto malicioso el 16 de marzo que, al ejecutarse, explotaba una vulnerabilidad del editor de ecuaciones de Microsoft, instalando un metarchivo de Windows (WMF) que finalmente entregaba el malware. Según los expertos en ciberseguridad, esta táctica con documentos RTF no es más que una variante de otro método que siguen números grupos de ciberdelincuencia en China.
No obstante, desde Proofpoint comentan que en el caso delTA413 este reajuste de enfoque en sus ataques parece haber sido solo por uninterés a corto plazo. Además, señalan que este mismo grupo APT ha sidovinculado a finales de julio a otras campañas de amenazas dirigidas de nuevohacia la comunidad tibetana, lo que evidencia una vez más la constanteevolución de las ciberamenazas durante este año.