El coronavirus, tal y como ya vimos en su día, se está cebando con la tecnología y en especial con la ciberseguridad. El miedo que suscita el virus está siendo aprovechado por ciberdelincuentes que buscan atacar a organizaciones o a personas en plena pandemia, haciendo uso de la desinformación.
Tanto es así que Microsoft ha detectado una inmensa campaña de phishing con una temática clara: el COVID-19. Esta campaña es especialmente peligrosa, ya que busca instalar una herramienta específica en los dispositivos de las víctimas para hacerse cargo por completo de los sistemas de las mismas.
El equipo de Microsoft Securyity Intelligence ha proporcionado más detalles sobre esta campaña en una serie de tweets en los que aseguraron que los ciberdelincuentes estaban usando archivos adjuntos en Excel de carácter malicioso.
Phishing del COVID-19
Microsoft explica que los archivos que se adjuntan en dichos excel infectan los dispositivos de los usuarios con un troyano de acceso remoto (RAT). La amenaza instala la herramienta de administración remota NetSupport Manager para hacerse con el control del sistema e incluso ejecutar comandos de forma remota en él.
El correo en cuestión se hace pasar por el Centro John Hopkins. Intenta dar una actualización sobre el número de muertes relacionadas con el COVID-19 en los Estados Unidos, y el correo adjunta un Excel que muestra estas muertes.
Si se abre el Excel, se le indica al usuario que "habilite el contenido" y al hacerlo, ejecuta el archivo que se descargan e instgalan el NetSupport Manager. Todos los archivos del Excel usados en esta campaña llevan a una misma URL.
El problema reside en que si bien NetSupport Manager es una herramienta de administración legítima, se distribuye entre las comunidades de piratas informáticos que lo usan como RAT. No es hasta que instalamos el archivo en nuestro PC que los hackers obtienen un control completo sobre nuestro ordenador.
Formatear el dispositivo
Podemos intentar desinstalar el NetSupport Manager, pero nada nos garantiza que el archivo no tenga una forma de mantenerse dentro del sistema. Una vez sufrimos una campaña de phishing de estas características, debemos asumir que nuestros datos podrían haber sido comprometidos y que han tratado de robar nuestras contraseñas.
Aunque pueda parecer una solución drástica, recomendamos encarecidamente hacer una limpieza del dispositivo muy profunda, formateándolo (siempre guardando nuestros archivos previamente analizados en otro dispositivo). Una vez limpiado el dispositivo, debemos cambiar todas nuestras contraseñas, especialmente si usamos una para muchas cuentas.