Cuidado: Campaña Masiva de Phishing a Través de Excel

En esta cuarentena que hemos experimentado casi todos los países del mundo por la pandemia del COVID-19, el internet ha sido un recurso valioso para poder teletrabajar, entretenernos, comunicarnos, informarnos. Lastimosamente, también esta ha sido una herramienta para el mal donde han salido a la luz varios ciberataques tipo ‘phishing’ que involucran a la herramienta Microsoft Excel.

El pasado 18 de mayo de 2020, Microsoft a través de su cuenta de Twitter relacionada a la Seguridad ha informado que han podido detectar un correo masivo que adjuntan en los macros de Excel 4.0 que parecen legítimos pero contienen información maliciosa.

Lo curioso de todo esto es que los ciberdelincuentes disfrazan muy bien la información y hacen ver que viene directo del Instituto John Hopkins, el cual es uno de los mas relevantes en su seguimiento al desarrollo de la pandemia del COVID-19, la novela del coronavirus. El titulo de esta campaña masiva ha sido nombrado “ Reporte OMS Situación del COVID-19” (traducido del inglés).

¿Como se desarrolla esta nueva amenaza cuando abrimos los adjuntos?

Si el usuario permite que se ejecute el archivo, la hoja de cálculo maliciosa descarga y ejecuta NetSupport Manager RAT.

El NetSupport RAT utilizado en esta campaña elimina varios componentes, incluidos .dll, .ini y otros archivos .exe. Se conecta a un servidor C2, lo que permite a los atacantes enviar más comandos, dijo Microsoft Security Intelligence en un tuit.

Los cientos de hojas de cálculo únicas en esta campaña usan fórmulas altamente complicadas que llevan a los usuarios a conectarse a la misma URL para descargar la carga útil.

“Este feed de inteligencia de amenazas específico de COVID-19 representa un comienzo para compartir algunos de los COI relacionados con COVID-19 de Microsoft”, dijo Microsoft en un comunicado.

“Continuaremos explorando formas de mejorar los datos durante la duración de la crisis”.

Microsoft

El Instituto John Hopkins ha aclarado esta situación el 22 de mayo en donde ellos aseguran que no envían ningún tipo de reporte diario. Los mismos piden al público en general que verifiquen bien su fuente de origen y remitente antes de descargar archivos adjuntos.