G Data advierte sobre una campaña activa de spam: las supuestas reglas de seguridad laboral de corona contienen malware. Los delincuentes están enviando actualmente un documento con reglas de seguridad ocupacional corona supuestamente modificadas. El correo electrónico está disfrazado de información del Ministerio de Salud.
Un correo electrónico que supuestamente proviene del Ministerio Federal de Salud contiene un descargador de malware. El archivo adjunto con el nombre "Bund-Arbeitsschutzregel-Corona-September.zip" supuestamente contiene un documento con reglas actualizadas y ahora vinculantes para la protección contra infecciones en el lugar de trabajo. El texto del correo electrónico permite concluir que las empresas son principalmente parte del grupo objetivo. Por esta razón, actualmente se recomienda a las empresas que tengan especial cuidado cuando supuestos correos electrónicos de las autoridades terminan en el buzón. Estamos al tanto de los informes de infecciones actualmente activas.
"La pandemia del coronavirus todavía está causando mucha incertidumbre, y la combinación de muchas reglas de higiene y oficina en casa en el lugar de trabajo en realidad plantea grandes desafíos para los empleadores", dice Tim Berghoff, evangelista de seguridad en G DATA CyberDefense. “Por eso mismo, los responsables deberían mirar muy de cerca y confiar únicamente en las fuentes oficiales. Porque una infección con malware es incluso menos útil para las empresas en este momento de lo que ya es".
Los atacantes se aprovechan del desconocimiento de empleados y empresas
El texto del correo electrónico apunta a una reunión entre los ministros de salud de la UE en la que se revisaron las reglas actualizadas. Incluso puede ser cierto que hubo una reunión de este tipo; sin embargo, dicha información generalmente no se envía por correo electrónico desde los ministerios, sino que se publica en un portal separado. No hay correo proactivo.
Además, el texto del correo electrónico se refiere a una reunión que tuvo lugar "hoy". También hay algunos errores de caracteres en el correo, especialmente las letras U, W, C y D, así como las diéresis. El correo electrónico también contiene una dirección de remitente incorrecta que se refiere a "bundesministerium-gesundheit.com", pero este dominio no pertenece al Ministerio de Salud. La dirección mencionada en el texto del correo electrónico "[email protected]” es realmente correcto.
La información previa es particularmente útil contra las campañas de spam bien hechas.
Para protegerse de una infección de malware de un correo electrónico de una campaña de spam de este tipo, las empresas y los particulares solo deben obtener toda la información sobre la pandemia de COVID19 y las medidas de protección correspondientes de fuentes oficiales. Toda la información actual sobre Corona y COVID19 se recopila en el sitio web del Ministerio Federal de Salud (BmG).
Por cierto, otro correo electrónico con la misma función maliciosa está actualmente en camino en forma de una carta de solicitud falsa. Uno de los nombres utilizados para la supuesta aplicación es “Claudia Alick”.
El hecho de que los delincuentes estén utilizando la pandemia como palanca para sus actividades no es nuevo: incluso al comienzo de la pandemia, los estafadores aseguraron que se suspendió brevemente el pago de ayuda financiera a empresas vulnerables.
Funciones maliciosas del cargador de scripts “Buer”
Según los conocimientos actuales, el archivo adjunto del correo contiene un cargador de JScript llamado "Buer", que a su vez descarga más malware de Internet. Se trata de NuclearBot, un troyano bancario que tiene como objetivo, entre otras cosas, las contraseñas de las cuentas bancarias.
Más sobre esto en el blog en GData.de