El falso «Corona Antivirus» distribuye la herramienta de administración remota BlackNET

Los estafadores y los autores de malware están aprovechando la crisis del coronavirus en su apogeo. Hemos visto una serie de campañas de spam que utilizan COVID-19 como un reclamo para engañar a las personas para que instalen una variedad de malware, pero especialmente ladrones de datos.

A medida que más personas trabajamos desde casa, la necesidad de proteger su computadora, especialmente si se está conectando a la red de su empresa, se vuelve más importante. Sin embargo, debe tener mucho cuidado con el software de seguridad falso, especialmente si intenta utilizar el coronavirus como un punto de venta.

Corona antivirus: 100% falso

La última estafa que encontramos es un sitio web (sitio antivirus-covid19 [.]) Que anuncia «Corona Antivirus: la mejor protección del mundo». Así es, los estafadores están intentando que instales un antivirus digital que supuestamente protege contra el virus COVID-19 que infecta a personas en todo el mundo.

Para agregar al sinsentido, el sitio continúa agregando:

Nuestros científicos de la Universidad de Harvard han estado trabajando en un desarrollo especial de IA para combatir el virus utilizando una aplicación de Windows. Su PC lo protege activamente contra los Coronavirus (Cov) mientras se ejecuta la aplicación.

Víctimas infectadas agregadas a BlackNET RAT

Al instalar esta aplicación, su computadora se infectará con malware. El archivo, empaquetado con el empaquetador comercial Themida, convierte su PC en un bot listo para recibir comandos:

hxxps [: //] sitio instaboom-hello [.] // conexión [.] php? data = [eliminado]
hxxps [: //] sitio instaboom-hello [.] // getCommand [.] php? [eliminado]
hxxps [: //] sitio instaboom-hello [.] // recibir [.] php? command = [eliminado]

El servidor de comando y control alojado en el sitio instaboom-hello [.] Revela el panel de control para la botnet BlackNET.

El código fuente completo de este kit de herramientas se publicó en GitHub hace un mes. Algunas de sus características incluyen:

Implementar ataques DDOS
Tomar capturas de pantalla
Robar las cookies de Firefox
Robar contraseñas guardadas
Implementando un keylogger
Ejecutando guiones
Robar billeteras de Bitcoin

Elige la protección adecuada

Durante este período, es importante mantenerse seguro tanto en casa como en línea. La cantidad de estafas que hemos visto durante estas últimas semanas muestra que los delincuentes se aprovecharán de cualquier situación, sin importar cuán grave sea.

Recomendamos que mantenga su computadora actualizada y tenga especial cuidado al descargar nuevos programas. Tenga cuidado con las notificaciones instantáneas y otros mensajes, incluso si parecen provenir de amigos.

Los usuarios de Malwarebytes ya estaban protegidos a pesar de que no habíamos visto esta muestra de malware antes, gracias a nuestro motor de aprendizaje automático.

También informamos a CloudFlare ya que los actores de la amenaza estaban abusando de su servicio y tomaron medidas inmediatas para marcar este sitio web como phishing.

Indicadores de compromiso

sitio malicioso

sitio antivirus-covid19 [.]

Bogus corona antivirus

antivirus-covid19 [.] sitio / update.exe

146dd15ab549f6a0691c3a728602ce283825b361aa825521252c94e4a8bd94b4

Panel C2

sitio instaboom-hello [.]

El falso «Corona Antivirus» distribuye la herramienta de administración remota BlackNET