La transición al aprendizaje a distancia ha sido bastante difícil para los profesores de todo el mundo, pero los investigadores de Proofpoint ahora han observado una nueva campaña dirigida que intenta infectar sus computadoras con ransomware.
La campaña utiliza mensajes en los que el atacante se hace pasar por un padre o tutor que envía una tarea en línea en nombre de un estudiante que afirma que el estudiante ha encontrado problemas técnicos al intentar enviar la tarea por sí mismo. Sin embargo, en lugar de adjuntar una asignación a sus correos electrónicos, el atacante adjuntó un documento malicioso que descarga una carga útil de ransomware personalizada.
A principios de octubre, los investigadores de Proofpoint descubrieron una nueva campaña de correo electrónico dirigida que utiliza temas como "Carga de asignación de feed", "Error al cargar la asignación de "o"Error al descargar la tarea ”. Los correos electrónicos en sí contienen un documento malicioso almacenado en un archivo zip, y la campaña intenta atraer a las víctimas con una súplica de un padre pidiendo a un maestro que acepte el envío de una tarea por correo electrónico.
Según Proofpoint, los objetivos de la campaña eran profesores individuales y el atacante a cargo probablemente eliminó sus direcciones de correo electrónico de las páginas públicas del sitio web de una escuela.
ครูเป้าหมาย
El documento malicioso contenido en los correos electrónicos de la campaña parece haber sido personalizado por el atacante. Utiliza relaciones externas (inyección de modelo remoto) para descargar otro documento malicioso que luego puede descargar los ejecutables de malware si un usuario tiene macros habilitadas.
Los ejecutables de malware se alojan en el servicio de alojamiento de código gratuito notabugorg y la macro también utiliza un servicio de errores web gratuito llamado Canarytokens que notifica al atacante si el ejecutable descargado se inició correctamente o no.
Aunque Proofpoint no realizó un análisis exhaustivo del malware, parece ser un ransomware personalizado y relativamente simplista escrito en el lenguaje de programación Go conocido como "crypt". Los investigadores de la compañía proporcionaron información adicional sobre esta nueva campaña de ransomware en una publicación de blog, diciendo:
“Los estudiantes y los sistemas escolares enfrentaron desafíos únicos en 2020, y estos mensajes aprovechan los omnipresentes desafíos tecnológicos que acompañan al aprendizaje en línea. Los mensajes están bien elaborados con una comprensión clara de lo que atraería a los destinatarios, aunque al momento de escribir este artículo, los investigadores de Proofpoint no han observado ningún pago publicado en la dirección de Bitcoin de la nota de rescate. Aunque esta campaña ha sido muy limitada, es posible que este actor y otros sigan utilizando los temas de problemas tecnológicos y e-learning para dar legitimidad y urgencia a sus señuelos.
Para evitar ser víctimas de esta nueva campaña de ransomware, los profesores deben estar más atentos al revisar su correo electrónico y evitar abrir mensajes de remitentes desconocidos.