Enviado por kparavicini el Mar, 28/07/2020 - 19:05

 

Los estafadores y autores de malware están aprovechando la crisis del coronavirus para distribuir software malicioso usando el COVID-19 como un atractivo para convencer a  instalar supuesto antivirus.

La compañia Malwarebytes identificó un sitio web (antivirus-covid19 [.]site) Que anuncia "Corona Antivirus: la mejor protección del mundo". Así es, los estafadores están intentando que instales un antivirus digital que supuestamente protege contra el virus COVID-19 que infecta a personas en todo el mundo.

Además para respaldar el engaño afirma lo siguente:

"Nuestros científicos de la Universidad de Harvard han estado trabajando en un desarrollo especial de Inteligencia Artificial para combatir el virus usando una aplicación de Windows. Su PC lo protege activamente contra el Coronavirus (Cov) mientras se ejecuta la aplicación."

antivirusCorona

 

Al instalar el supuesto antivirus la computadora se infectará con malware convirtiendo el equipo en un Bot listo para recibir comandos:

  • hxxps[://]instaboom-hello[.]site//connection[.]php?data=[removed]
  • hxxps[://]instaboom-hello[.]site//getCommand[.]php?[removed]
  • hxxps[://]instaboom-hello[.]site//receive[.]php?command=[removed]

El servidor de comando y control está alojado en el sitio instaboom-hello[.]site, el cual revela el panel de control para la botnet BlackNET.

Panel de comando y control BlackNET

El código fuente completo de este kit de herramientas se publicó en GitHub en el mes de Febrero. Algunas de sus características incluyen:

  • Implementar ataques DDOS
  • Tomar capturas de pantalla
  • Robar las cookies de Firefox
  • Robar contraseñas guardadas
  • Implementando un keylogger
  • Ejecutando guiones
  • Robar billeteras de Bitcoin

Indicadores de compromiso

Sitio Malicioso

  • antivirus-covid19[.]site

Bogus corona antivirus

  • antivirus-covid19[.]site/update.exe
  • 146dd15ab549f6a0691c3a728602ce283825b361aa825521252c94e4a8bd94b4

Panel de Control del la BlackNET del Antivirus Corona:

  • instaboom-hello[.]site

Debe tener mucho cuidado con el software de seguridad falso, especialmente si intenta utilizar el coronavirus como sustento para legitimar el engaño.

Más Información

https://blog.malwarebytes.com/threat-analysis/2020/03/fake-corona-antivirus-distributes-blacknet-remote-administration-tool/