Detectar archivos adjuntos sospechosos de Email durante la pandemia de COVID-19

Detectar archivos adjuntos sospechosos de correo electrónico durante la pandemia de COVID-19

La mayoría de las organizaciones dependen de los servicios de correos electrónicos como medio principal de comunicación cuando se trata de compartir datos confidenciales como números de cuenta de clientes, credenciales de empleados y otra información clasificada.

Las empresas pueden sufrir de incidentes informáticos, los cuales pueden detener sus operaciones incluso perder o exponer información de alto valor o muy sensible, solo porque un usuario/empleado accedió a un correo electrónico del cual, descargo un archivo malicioso.

6 de cada 10 empresas en México aseguran que la mayoría de las infecciones de malware de las cuales fueron victimas, iniciaron con un e-mail y un archivo.

Los cibercriminales han aprovechando la pandemia de Coronavirus, para desarrollar ataques de phishing que engañan a las personas para que abran enlaces y archivos adjuntos maliciosos. Los atacantes usan archivos adjuntos de correo electrónico falsos disfrazados con el objetivo de comprometer los dispositivos o redes de usuarios específicos. Los archivos adjuntos pueden contener entre todas las amenazas ransomware.

5 Aspectos para detectar archivos maliciosos adjuntos en correos electrónicos.

1.- Identifica la extensión del archivo.

Las extensiones ayudan a determinar el tipo de archivo adjunto, por ejemplo, si el nombre del archivo termina con la extensión .jpg la cual es de un archivo de imagen y si termina con .avi es un archivo de video.  La extensión a tener en cuenta es .exe la cual es ampliamente empleada por los cibercriminales  para la  instalación de malware en el equipo. Los cibercriminales usan estos archivos ejecutables para difundir malware de todo tipo.

Los cibercriminales también usan archivos de Microsoft Office como .Doc, .Docx y .Docm para infectar dispositivos. Estas extensiones de archivo usan macros maliciosas, que son una serie de instrucciones que ejecutarán una tarea. Si el nombre del archivo termina con una m , tiene macros, estos incluyen .docm. pptm y .xlsm . Algunas otras extensiones de archivo para evitar incluyen .jar, .cpl, .com, .bat, .msi, .js y .wsf . La regla general aquí es evitar extensiones que parezcan extrañas o sospechosas.

2.- Archivos cifrados o comprimidos

El software empleado para comprimir múltiples archivos en una carpeta, pueden ser y son utilizados para comprimir archivos ejecutables maliciosos para poder evadir las detecciones antivirus.

Los archivos con terminación: .7z, .rar o .zip , son potencialmente sospechosos de ser malware.

3.- Verificación del remitente

Los cibercriminales han desarrollado técnicas las cuales les permiten suplantar la identidad, de empresas o usuarios, logrando pasar el contenido malicioso como legitimo y de esta forma engañar al usuario. Existen casos donde los cibercriminales logran comprometer alguna cuenta de correo electronico de sus contactos, la cual posteriormente es empleada para esparsir malware.

Es recomendable verifique la autenticidad del remitente.

• Si no espera recibir un archivo por medio de correo electrónico, tenga cuidado
• No descargue ningún archivo de los correos electrónicos que lleguen a su bandeja de SPAM.
• De ser necesario analice el archivo con un antivirus local y con otra solución de detección de malware en la nube.
• De ser posible ejecute el archivo en un SandBox.
  

4.- Por contenido de correo electrónico

Revise el contenido del correo electrónico antes de abrir su archivo adjunto, lea la línea de asunto, verifique los errores tipográficos y otros errores. Si el remitente parece legítimo, pero el contenido del correo electrónico no parece ser algo que enviaría, podría ser sospechoso.

Dichos correos electrónicos se utilizan en ataques de phishing para engañar a las personas para que hagan clic / descarguen archivos adjuntos / enlaces maliciosos o les pidan que ingresen datos personales.

5.- Recomendaciones Generales de RedBird

1. Si no espera recibir un archivo por medio de correo electrónico, tenga cuidado
2. Establece configuraciones estrictas de detección de correos electrónicos maliciosos (Anti-Spam)
   
3. No descargue ningún archivo de los correos electrónicos que lleguen a su bandeja de SPAM.
4. De ser necesario analice el archivo con un antivirus local y con otra solución de detección de malware en la nube.
5. De ser posible ejecute el archivo en un SandBox.
6. De ser posible contactar al remitente para validar que fue el quien envió un archivo.
7. Los correos electrónicos del tipo "emergencia", "importante" y "revisión inmediata" son potenciales correos maliciosos.

Durante la pandemia de COVID-19 la mayoría de los e-mails maliciosos (phishing) utilizaban los siguientes asuntos:

1. Donaciones o ayuda humanitaria.
2. Prestamos bancarios.
3. Ayuda del gobierno.
4. Avisos o notificaciones relacionadas al COVID-19 (insistan a descargar un archivo)
5. Noticias Falsas (FakeNews)

En su mayoría los e-mail obligaban a los usuarios a descargar archivos potencialmente maliciosos, para tener acceso a formatos de registro, la noticia misma, etc. Los archivos solicitan permisos para ejecutar macros.

Por Rudra Srinivas