22 agosto, 2020 Alberto

Fraude online aprovechando la situación del COVID19

Investigación con Maltiverse

Listado de DomainTools de dominios sospechosos por fraude COVID19

¿A qué se dedican los ciberdelincuentes en tiempos de Coronavirus?.

Durante los días de confinamiento leemos en multitud de medios cómo los ciberdelincuentes aprovechan el COVID19 para adaptar sus modos de actuar.  Hemos visto como muchas empresas y entidades del sector de la ciberseguridad han publicado su informes advirtiendo de la situación.

El pasado 27 de Marzo una de estas advertencias la realizaba la Policía Nacional en la comparecencia de prensa diaria que realiza el Gobierno.  El comisario principal de la Polica Nacional, José Ángel González, alertaba de que habían detectado 12.000 webs fraudulentas, muchas de ellas con dominios todavía aparcados y otras que por ejemplo estaban publicando tiendas online con “vacunas milagrosas” a la venta entre otras estafas.

 

Noticia de la policía sobre el fraude online aprovechando el COVID19

Noticia de la policía sobre el fraude online aprovechando el COVID19

https://www.lavanguardia.com/politica/20200327/48113002773/policia-nacional-fraude-web-12000-coronavirus-vacunas-milagrosas.html

 

Si nos vamos más atrás, paralelo al inicio del confinamiento, CCN-CERT publicaba en su plataforma Loreto tres listados con indicadores de compromiso relacionados con COVID19  (dominios, hashes e IPs) dónde encontramos un listado con parte de esas webs fraudulentas a las que hacía mención Policía Nacional.

Repositorio del CCN-CERT con dominios e IPs sospechosas por fraude aprovechando el COVID19

Repositorio del CCN-CERT con dominios e IPs sospechosas por fraude aprovechando el COVID19

https://loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

 

Utilizamos la plataforma Maltiverse, un agregador de indicadores de compromiso públicos, para analizar a qué más se están dedicando estos dominios de baja reputación.  Para ello hacemos uso de la opción de Threat analyzer capaz de ingestar dominios, direcciones IPs y hashes en formato md5, sha1, sha256 y sha512.

Hacemos una primera consulta con los más de 2.300 dominios del listado de CCN-CERT.

Búsqueda con el Threat Analyzer de Maltiverse

Búsqueda con el Threat Analyzer de Maltiverse

 

En un primer vistazo vemos que 348 dominios ya son conocidos por la comunidad, 77 de ellos confirmados como maliciosos y 271 son sospechosos.

Resumen de la búsqueda con el Threat Analyzer de Maltiverse

Resumen de la búsqueda con el Threat Analyzer de Maltiverse

 

Descendemos por el informe para apreciar el detalle y vemos como los servicios de listas negras identifican que estos dominios maliciosos son utlizados para propagar malware de tipo RAT como las familias nanocore, bladabindi y njrat y para robar información con técnicas de phishing.

 

Categorización de las listas negras

Categorización de las listas negras

 

El apartado de etiquetas nos da un poco más de detalle respecto a los ataques de phishing.  Nos encontramos con que algunos de ellos van dirigidos a robar datos bancarios o sanitarios.  También nos encontramos con phishings dirigidos a herramientas  de correo en la nube y colaborativas como Office 365.

Categorizacion por etiquetas de Maltiverse

Categorizacion por etiquetas de Maltiverse

Otra de las cosas que podemos ver es cómo están intentando aprovechar vulnerabilidades en documentos ofimáticos como el CVE-2017-11882, CVE-2015-1650 , CVE-2017-0199  y CVE-2017-8759.

Este mismo ejercicio lo podemos repetir para el listado de direcciones IP.  Esta vez del listado de 79 direcciones IP de CCN-CERT, la comunidad tiene identificadas 56 de las cuáles 31 se saben que son maliciosas, 20 son sospechosas y 5 son neutras.  EEUU es el país que más alberga infraestructura maliciosa de este tipo.

Distribución por países de Maltiverse

Distribución por países de Maltiverse

Los detalles nos aportan datos nuevos como infraestructura utilizada para para dropear el infostealer Azorult o algunas variedades de ransomware.

Categorización de listas negras por IP de Maltiverse

Categorización de listas negras por IP de Maltiverse

 

También vemos que los ASN están muy repartidos y sólo hay uno que aglutina más de un indicador de compromiso.

Categorización de ASNs de Maltiverse

Categorización de ASNs de Maltiverse

 

Hasta ahora el análisis lo hemos hecho sobre los listados que ofrece CCN-CERT pero hay fuentes de indicadores de compromiso relacionados con COVID19 mucho más grandes, cómo es el listado que ofrece de forma gratuita la plataforma Domain Tools.

Listado de DomainTools de dominios sospechosos por fraude COVID19

Listado de DomainTools de dominios sospechosos por fraude COVID19

 

Este listado ya supera los 130.000 dominios por lo que puede ser algo pesado para un frontal web como el Threat analyzer de Maltiverse.  En este caso podemos hacer uso de la API rest para consumir la información y hacer el mismo análisis.

API de Maltiverse

API de Maltiverse

https://app.swaggerhub.com/apis-docs/maltiverse/api/1.0.0-oas3

 

 
, , , , , ,

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies