Aumentan un 30% las campañas de phishing con la OMS o la ONU como gancho

A pesar de los pasos hacia adelante que se están dando para salir de la crisis actual, el Covid-19 se mantiene como el epicentro de la actualidad informativa, algo que los cibercriminales están aprovechando para lanzar sus campañas de ataque.

De hecho, durante los últimos quince días, los investigadores de Check Point han detectado 192.000 ciberataques semanales relacionados con la pandemia. Este dato supone un aumento del 30% en comparación con las semanas anteriores y, en esta nueva oleada, los cibercriminales siguen apostando por el phishing como principal ciberamenaza para suplantar a entidades como la Organización Mundial de la Salud, la ONU o empresas privadas como Zoom, Microsoft Teams o Google Meet.

"En las últimas semanas hemos detectado cambios: los cibercriminales han aumentado su actividad y están poniendo el foco en suplantar la identidad de organismos gubernamentales y entidades de renombre en el ámbito de la salud para aumentar su tasa de éxito”, señala Omer Dembinsky, director de investigaciones cibernéticas de Check Point.

“Además, no hay que olvidarse de la creación de dominios similares a los de servicios de videollamada como Zoom, que en las últimas semanas ha crecido sustancialmente. Por tanto, es fundamental extremar las precauciones frente a cualquier enlace o comunicación que nos llegue, sobre todo si se trata de un remitente desconocido”, añade Dembinsky.

La OMS y la ONU, en el punto de mira de los cibercriminales
Con el objetivo de captar la atención de sus víctimas, y utilizando como asunto "Carta urgente de la OMS: Primera prueba de la vacuna COVID-19 en humanos/actualización de resultados", los cibercriminales han estado enviando campañas masivas de phishing a través de correo electrónico suplantado a la OMS desde el dominio "who.int". Estas comunicaciones contenían un archivo llamado "xerox_scan_covid-19_carta de información urgente.xlxs.exe" infectado con el malware Agent Tesla, que permite robar contraseñas del dispositivo de la víctima. Por otra parte, los investigadores de Check Point encontraron dos ejemplos de correos electrónicos de extorsión supuestamente enviados por las Naciones Unidas y la OMS que solicitaban el envío de fondos a las carteras de bitcoin, como se ve a continuación:

Aumentan los registros de dominios similares a los de Zoom, Google Meet y Microsoft Teams

Desde enero de 2020 se han registrado en todo el mundo un total de 6.576 dominios relacionados con Zoom, de los cuáles 2.449 (37%) se han producido en las últimas tres semanas. Por otra parte, servicios similares como Google Meet o Microsoft Teams también sirven a los cibercriminales como gancho para atraer a sus víctimas por medio de correos electrónicos con el asunto "has sido añadido a un equipo en Microsoft Teams" con una URL maliciosa que, al hacer clic sobre el icono "Abrir Microsoft Teams" iniciaba la descarga de malware. 

Por otra parte, los investigadores de Check Point también han descubierto falsos dominios de Google Meets como "Googelmeets\.com", que se registró por primera vez el 27 de abril de 2020. Este enlace, como era de esperar, no redirigía a ningún sitio web oficial de Google.