Киберпреступники используют тему коронавируса в качестве приманки в своих аферах
Коронавирус, безусловно, опасное заболевание-вакцины еще не разработано, и единственной надежной мерой профилактики является социальная дистанцированность. Поэтому неудивительно, что киберкамеры интенсивно эксплуатируют эту тему, наводняя киберпространство электронными письмами, содержащими поддельные лекарства, защитные диеты и советы по здоровью. Приложения к этим письмам-мошеннические электронные книги, информационные буклеты и поддельные пропущенные счета - нагружены вымогателями, кейлоггерами и вредоносными программами для кражи данных.
Проблема гораздо серьезнее, чем просто фишинговые аферы.
14 марта веб-трекер v от пользователя Twitter @dustyfresh обнаружил 3600 имен хостов, связанных с коронавирусом и COVID-19; все они появились в интернете всего за 24 часа.
17 марта @sshell_, исследователь безопасности и разработчик python, создал инструмент, обеспечивающий сканирование в реальном времени потенциально вредоносных доменов, связанных с коронавирусом. Этот инструмент размещен на ThugCrowd, так что вы можете использовать его для просмотра возможных мошеннических сайтов, которые постоянно регистрируются. RiskIQ сообщил о отслеживании более 13 000 из них за один уик-энд в марте и более 35 000 из них на следующий день.
Вот несколько примеров мошенничества с электронной почтой, замеченных в дикой природе командой Malwarebytes-a threat intelligence team.
Электронные письма якобы связанные со Всемирной Организацией Здравоохранения
В середине марта была проведена кампания по фишингу электронной почты. Действующие лица угрозы выдавали себя за Всемирную организацию здравоохранения (ВОЗ), которая является одним из главных научных ресурсов в отношении КОВИД-19. Эта спам-кампания распространяла поддельную электронную книгу, нагруженную вредоносным кодом-загрузчик под названием GuLoader, который был первым шагом в сложной схеме.
GuLoader использовался для загрузки троянской программы для кражи информации FormBook, которая хранилась на Google Диске в зашифрованном виде. Formbook-это популярный похититель информации; он относительно прост и обладает широким спектром возможностей, включая кейлоггинг, считывание содержимого из буфера обмена и кражу данных браузера.
Мошенничество GuLoader-это всего лишь одно из мошенничеств, когда киберпреступники выдают себя за Всемирную организацию здравоохранения, обманом заставляя жертв загружать и открывать вложения, загруженные вредоносными программами.
Кампания Агента Теслы
18 марта была раскрыта еще одна почтовая кампания, в которой использовался инвазивный агент Тесла кейлоггер. Этот кейлоггер, который может украсть различные конфиденциальные данные, испытал 100-процентный рост активности за три месяца 2018 года, согласно отчетам.
Исследователи кибербезопасности написали в LastLine, что агент Тесла действует как полнофункциональный похититель информации, который способен извлекать учетные данные из браузеров, почты и FTP-клиентов. Facebook Instagram, Gmail, Twitter, Twitter и т. д. он захватывает экран и видео, регистрирует ключи и данные клипбордов, а также выполняет атаки захвата форм в Instagram, Gmail, Twitter, Facebook и т. д.
Кампания агента Теслы, отслеживаемая в середине марта, включала электронное письмо, якобы поступившее от ВОЗ со следующей темой: Covid19 " последние советы по сохранению иммунитета к вирусу !!
Письмо якобы включало PDF-файл с информацией о " различных диетах и советах, чтобы уберечь нас от заражения вирусом.”
Письмо пришло с адреса электронной почты отправителя “sarah@who.com.“, в то время как законные адреса электронной почты ВОЗ должны заканчиваться на”. int. “письмо было подписано”доктором Сарой Хопкинс, консультантом ВОЗ по связям со СМИ".
Правда заключается в том, что у ВОЗ есть публичный веб-сайт для связи со своими представителями по связям со СМИ, но ни один из них не назван Сарой Хопкинс.Телефон “доктора Хопкинса", указанный в мошенническом письме, не работает - вызов этого номера привел к сообщению об ошибке от провайдера.
Эта афера - всего лишь один пример электронной кампании, пытающейся доставить агента Теслу с помощью олицетворения ВОЗ.
Кампания по доставке Соколиного Глаза
Еще одна кампания malspam, замеченная в марте, пытается обмануть жертв, чтобы загрузить HawkEye-похититель учетных данных, который известен с 2013 года.
По данным Службы безопасности, новостного ресурса кибербезопасности, HawkEye продается на хакерских форумах как кейлоггер и похититель информации.
Ястребиный глаз доставляется по электронной почте от предполагаемого отправителя " DR JINS (CORONA VIRUS)."Тема сообщения следующая:”лечение коронного вируса для Китая,Италии".
Текст письма выглядит следующим образом:
Уважаемый Сэр / Ма,
Пожалуйста, прочтите прилагаемый файл для вашего быстрого решения проблемы CORONA VIRUS.
Отправитель электронной почты указывает свое место работы как несуществующую исследовательскую больницу ISREAL с неправильным написанием по адресу № 29 JERUSALEM STREET, P. O. C 80067, ISREAL.
Кампания, ориентированная на пользователей из Испании
Еще одна кампания нацелена на испаноязычных жертв. Письмо, которое распространил GuLoader, было подписано "Адриана Эрико". The subject line was “Vacuna COVID-19: prepare la vacuna en casa para usted y su familia para evitar COVID-19”.
Как защитить себя
Для мошенников коронавирус представляет собой замечательную возможность заразить множество компьютеров жертв. Боязливая публика жаждет получить информацию, связанную с КОВИДОМ-19, который служит прекрасной приманкой. Это означает, что защитные меры остаются прежними: используйте здравый смысл и не открывайте подозрительные электронные письма.
Хотя тема коронавируса стала золотой жилой для киберпреступников, иногда есть и хорошие новости. Когда началась кампания вымогателей, заражающих мобильные телефоны многочисленных пользователей с помощью поддельного "приложения Covid19 Tracker" (программа-вымогатель требовала 100 долларов за разблокировку устройств жертв), один пользователь декомпилировал это вредоносное приложение и опубликовал универсальный пароль, который победил вымогателей. Код доступа быстро стал доступен всем после того, как был опубликован в Twitter.
Автор: Keylogger.Org Команда