Symantec ha observado tres operaciones de malware y una campaña de phishing que utiliza el virus Ébola como ingeniería social para delinquir.
La primera campaña utilizada por los atacantes consiste en el envío de un correo electrónico con un falso informe sobre el virus Ébola para llamar la atención de las víctimas y finalmente infectar su ordenador con el malware Trojan.Zbot.
La segunda campaña consiste en el envío de un correo electrónico bajo el nombre de Etisalat, un proveedor de servicios de telecomunicaciones en los Emiratos Árabes Unidos. Dicho correo electrónico dice ofrecer una presentación de alto nivel sobre el virus del Ébola. El mismo contiene un archivo zip adjunto con el título "EBOLA - ETISALAT PRESENTATION.pdf.zip" que en realidad ejecuta un malware llamado Trojan.Blueso en el ordenador de la víctima.
Figura 1. Campaña de correo electrónico Ébola usando como infector al malware Trojan.Blueso
Cabe destacar que este malware también infecta el navegador del usuario con W32.Spyrat, que a su ves realiza las siguientes acciones:
1. Grabar las pulsaciones de teclas (todo lo que el usuario escribe con el teclado).
2. Grabar las imágenes de las webcams de los usuarios.
3. Abrir y cerrar páginas web sin el permiso del usuario.
4. Captar imágenes de la sesión en curso.
5. Subir y descargar archivos.
6. Crear nuevas carpetas y archivos.
7. Eliminar las carpetas y los archivos existentes.
8. Tomar información sobre los sistemas operativos y las aplicaciones de la computadora y desinstalarse.
La tercera campaña utiliza el nombre Zmapp, un medicamento contra el Ébola en etapa Beta, para ganar la confianza de las victimas e infectar los ordenadores con el malware Backdoor.Breut. Los Piratas informáticos envían un correo electrónico afirmando que se ha descubierto la curar del Ébola y que la noticia debe ser compartida de forma masiva. El correo electrónico contiene adjuntado al malware Backdoor.Breut.
Figura 2 . Email malicioso engaña a las victimas con falsa cura del Ébola.
La siguiente campaña de phishing se hace pasar por un titular de la CNN de último momento sobre el Ébola, en el cual se especula con una supuesta conspiración terrorista que utiliza al virus en cuestión para efectuar ataques. En el correo electrónico también se promete información de precaución ante estos ataques y una lista de regiones "objetivo".
Figura 3. Campaña de phishing que utiliza la marca de la CNN como cebo.
Si el usuario hace clic en los enlaces del correo electrónico se re direcciona a una página Web, donde se le pide a la victima seleccionar un proveedor de correo electrónico, donde a su ves se le pide iniciar sesión para acceder al contenido. Si el usuario realiza esta acción, sus credenciales de inicio de sesión de correo electrónico se enviarán directamente a los piratas informáticos.
Figura 4. Sistema utilizado por los ciberdelincuentes para robar datos de acceso con falsa página de inicio de sesión.
Symantec recomienda a todos los usuarios estar atentos a los correos electrónicos no solicitados, inesperados, o sospechosos. Si no está seguro de la legitimidad de un correo, no responden al mismo, y evite hacer clic en los enlaces de los mensajes y no abrir archivos adjuntos.