Descubierto por primera vez por MyOnlineSecurity , estos correos electrónicos se envían desde direcciones de correo electrónico que se hacen pasar por «Centros para el Control y la Prevención de Enfermedades» y tienen una línea de asunto de «Advertencia de pandemia de gripe». Estos correos electrónicos indican que hay una pandemia de gripe y que los destinatarios deben leer el documento adjunto para ayudar a evitar que se propague.

 

Falso CDC Flu Pandemia Spam
Falso CDC Flu Pandemia Spam

 

El texto completo de los correos spam es:

Please focus on this special announcement!
Presently, influenza activity is severely elevated. US Center for Disease Control and Prevention (CDC) estimates that during a last four months, the situation has deteriorated essentially: near 20 thousand diseased people were killed by the flu already, and more than 220,000 were urgently hospitalized.
Directions DOC 

To stop spread of the disease and keep people from the flu, US Center for Disease Control and Prevention developed a directions list.
You could find DOC file with this list attached to the e-mail.	
     	
It is recommended to read it attentively and follow the directions to prevent the disease.  With care of your health, CDC Communication Department	

Not interested anymore? Unsubscribe

El documento de Word adjunto se llama «Fluandemic warning.doc» e indica que debe habilitar la edición y habilitar el contenido para poder verlo correctamente.

 

Documento malicioso de Word
Documento malicioso de Word

 

Si el contenido está habilitado, se ejecutará una Macro maliciosa que hará que el instalador de GandCrab v5.2 Ransomware se descargue de hxxp: //205.185.125.109/samanta.exe y se instale en la carpeta C: \ Windows \ Temp. Este archivo será ejecutado.

 

Macros maliciosas
Macros maliciosas

 

Una vez ejecutado, GandCrab cifrará los archivos en la computadora y agregará una extensión aleatoria al nombre de cada archivo cifrado. También soltará una nota de rescate llamada [extensión] -MANUAL.txt . Por ejemplo, si el ransomware utiliza la extensión ABCDE, la nota de rescate se llamará ABCDE-MANUAL.txt.

 

GandCrab v5.2 Nota de rescate
GandCrab v5.2 Nota de rescate

 

Como siempre, nunca abra un archivo adjunto que reciba por correo electrónico a menos que confirme de quién fue enviado y que se lo enviaron a usted. También se recomienda encarecidamente que escanee todos los archivos adjuntos con VirusTotal antes de abrirlos para mantenerse protegido contra documentos maliciosos.

Otras campañas de phishing instalando GandCrab

Esta no es la única estafa de phishing en curso que promueve GandCrab. Ya sea que los afiliados o los desarrolladores mismos lancen varios ataques, GandCrab está haciendo un gran esfuerzo en la distribución por correo electrónico.

Además de los correos electrónicos de los CDC, MyOnlineSecurity también encontró una campaña reciente que impulsó a GandCrab a través de falsos avisos de envío de DHL .

El gobierno chino también ha emitido una alerta indicando que a partir del 11 de marzo, un atacante comenzó a atacar departamentos gubernamentales con un ataque de phishing.

«De acuerdo con el monitoreo del Centro Nacional de Información de Seguridad de la Red y la Información, a partir del 11 de marzo de 2019, una organización de piratas informáticos de fuera del país lanzó un ataque de correo de ransomware a los departamentos gubernamentales relevantes en China. Después del análisis y el análisis, el número de versión del ransomware es GANDCRABV5.2, que es la última versión actualizada de ransomware en febrero de 2019. Después de ejecutarse, cifrará los datos del disco duro del host del usuario y permitirá al usuario víctima acceder a la URL para descargar el navegador Tor. El navegador Tor inicia sesión en el atacante «ventana de pago de moneda digital y le pide a la víctima que pague el rescate».

Fuente: bleepingcomputer.com

Compartir