¿A qué se dedican los ciberdelincuentes en tiempos de Coronavirus?.
Durante los días de confinamiento leemos en multitud de medios cómo los ciberdelincuentes aprovechan el COVID19 para adaptar sus modos de actuar. Hemos visto como muchas empresas y entidades del sector de la ciberseguridad han publicado su informes advirtiendo de la situación.
El pasado 27 de Marzo una de estas advertencias la realizaba la Policía Nacional en la comparecencia de prensa diaria que realiza el Gobierno. El comisario principal de la Polica Nacional, José Ángel González, alertaba de que habían detectado 12.000 webs fraudulentas, muchas de ellas con dominios todavía aparcados y otras que por ejemplo estaban publicando tiendas online con “vacunas milagrosas” a la venta entre otras estafas.
Si nos vamos más atrás, paralelo al inicio del confinamiento, CCN-CERT publicaba en su plataforma Loreto tres listados con indicadores de compromiso relacionados con COVID19 (dominios, hashes e IPs) dónde encontramos un listado con parte de esas webs fraudulentas a las que hacía mención Policía Nacional.
https://loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn
Utilizamos la plataforma Maltiverse, un agregador de indicadores de compromiso públicos, para analizar a qué más se están dedicando estos dominios de baja reputación. Para ello hacemos uso de la opción de Threat analyzer capaz de ingestar dominios, direcciones IPs y hashes en formato md5, sha1, sha256 y sha512.
Hacemos una primera consulta con los más de 2.300 dominios del listado de CCN-CERT.
En un primer vistazo vemos que 348 dominios ya son conocidos por la comunidad, 77 de ellos confirmados como maliciosos y 271 son sospechosos.
Descendemos por el informe para apreciar el detalle y vemos como los servicios de listas negras identifican que estos dominios maliciosos son utlizados para propagar malware de tipo RAT como las familias nanocore, bladabindi y njrat y para robar información con técnicas de phishing.
El apartado de etiquetas nos da un poco más de detalle respecto a los ataques de phishing. Nos encontramos con que algunos de ellos van dirigidos a robar datos bancarios o sanitarios. También nos encontramos con phishings dirigidos a herramientas de correo en la nube y colaborativas como Office 365.
Otra de las cosas que podemos ver es cómo están intentando aprovechar vulnerabilidades en documentos ofimáticos como el CVE-2017-11882, CVE-2015-1650 , CVE-2017-0199 y CVE-2017-8759.
Este mismo ejercicio lo podemos repetir para el listado de direcciones IP. Esta vez del listado de 79 direcciones IP de CCN-CERT, la comunidad tiene identificadas 56 de las cuáles 31 se saben que son maliciosas, 20 son sospechosas y 5 son neutras. EEUU es el país que más alberga infraestructura maliciosa de este tipo.
Los detalles nos aportan datos nuevos como infraestructura utilizada para para dropear el infostealer Azorult o algunas variedades de ransomware.
También vemos que los ASN están muy repartidos y sólo hay uno que aglutina más de un indicador de compromiso.
Hasta ahora el análisis lo hemos hecho sobre los listados que ofrece CCN-CERT pero hay fuentes de indicadores de compromiso relacionados con COVID19 mucho más grandes, cómo es el listado que ofrece de forma gratuita la plataforma Domain Tools.
Este listado ya supera los 130.000 dominios por lo que puede ser algo pesado para un frontal web como el Threat analyzer de Maltiverse. En este caso podemos hacer uso de la API rest para consumir la información y hacer el mismo análisis.
https://app.swaggerhub.com/apis-docs/maltiverse/api/1.0.0-oas3