ALERTA: Exploatarea subiectului CORONAVIRUS pentru lansarea de campanii frauduloase împotriva utilizatorilor în mediul cibernetic
Atenție!
- Interesul ridicat al publicului față de Coronavirus este exploatat de infractorii din mediul cibernetic și sporește numărul campaniilor de dezinformare.
- Cel puțin șase tipuri diferite de malware au fost distribuite prin e-mail, mesajele având ca subiect Coronavirus.
- Cel puțin două operațiuni cu finanțatori statali au fost raportate la nivel mondial.
Sumar
Din cauza pandemiei de Coronavirus (denumit oficial COVID-19), a fost exploatat interesul ridicat al publicului atât față de răspândirea virusului, cât și față de metodele de infecție și prevenire a acestuia.
Infractorii din mediul cibernetic profită de contextul creat și lansează campanii de tip scam sau malware, preponderent prin e-mail. Mai mult, experții în cybersecurity de la DomainTools atrag atenția asupra faptului că în ultimele săptămâni a crescut numărul înregistrărilor de noi domenii care au în denumire coronavirus sau covid. Monitorizarea lor a dus la concluzia că majoritatea sunt implicate în campanii malițioase.
În plus, în decursul ultimelor două săptămâni, interesul generat în jurul COVID-19 este exploatat și pentru a dezinforma în scopuri politice:
- În Ucraina, în data de 20 februarie 2020 au avut loc proteste publice și confruntări în baza unor informații false ce susțineau că numărul victimelor a crescut din cauza repatrierii persoanelor infectate aflate în străinătate.
- Conform oficialilor americani, mii de conturi de social media de proveniență rusească, printr-un efort coordonat, au lansat informații și alerte false în legătura cu Coronavirus, îngreunând lupta împotriva acestui virus la nivel global.
Temele cele mai întâlnite în cadrul acestor campanii de phishing au fost următoarele:
- Informații în timp real despre infecțiile cu Coronavirus
Accesați doar surse de încredere la nivel global și evitați instalarea de aplicații sau software pentru afișarea automatizată a acestor informații pe dispozitivele dvs!
- Alerte în numele centrelor de boli infecțioase
- Informații despre răspândirea Coronavirus
- Sfaturi din partea experților
- Analize asupra impactului pandemiei în diferite domenii de activitate, îndeosebi în sectorul economic
- Oferte de investiție în diferite măsuri de protecție, remedii, vaccinuri și alte medicamente miraculoase
- Informații „interesante” și videoclipuri cu privire la Coronavirus
- Informații false cu privire la originea virusului, cât și învinuirea anumitor state pentru crearea și răspândirea acestuia
- Știri false cu privire la numărul victimelor și a modului în care guvernele gestionează situația, ce au scopul de a răspândi frică și nemulțumire în rândurile populației.
Principalele metode utilizate pentru înșelarea victimelor au fost următoarele:
- E-mail-uri de tip phishing
- Atașamente malițioase (MS-Word, PDF, imagini, etc.)
- Link-uri malițioase
- Site-uri false, inclusiv un caz în care era impersonată Organizația Mondiala de Sănătate
- Site-uri ce solicită credențialele de e-mail pentru a permite descărcarea fișierelor
- Descărcări de fișiere ce conțin aplicații malițioase.
Principalele familii de malware utilizate au fost:
- Emotet – un troian utilizat frecvent ca intermediar pentru distribuirea altor tipuri de malware, inclusiv ransomware
- Azorult – un malware utilizat pentru furtul de credențiale
- Kiron – un troian bancar de origine braziliană
- Lokibot – un troian utilizat pentru furtul de informații
- Remcos – reprezintă un troian ce permite accesul remote (RAT)
- Trickbot – un troian bancar
- Alte tipuri de malware mai puțin cunoscute ce urmăresc colectarea și exfiltrarea informațiilor victimelor.
Observații
Pe măsură ce situația Coronavirusului evoluează, autoritățile UE responsabile răspund cu informații utile, atenționări și alte măsuri pentru prevenirea sau izolarea virusului.
Calendar al campaniilor malițioase care se folosesc de subiectul COVID-19
|
Dată |
Tip |
Țară |
Entitate impersonată |
Malware utilizat |
Subiect |
|
Final de ianuarie |
Phishing Malware |
Japonia |
Centre de sănătate publică |
Emotet |
Atașamente la e-mail-uri care ar fi trebuit să conțină recomandări pentru prevenție. |
|
Început de februarie |
Phishing Malware |
USA, UK |
Centre de control și prevenție (CDC) |
|
Alerte CDC, liste actualizate de cazuri din proximitatea victimei. Măsuri de protecție sub forma unor atașamente .pdf. |
|
4 februarie |
Phishing Malware |
|
Ministerul Sănătății (China) |
Lokibot |
Măsuri de urgență privind Coronavirus. |
|
5 februarie |
Phishing |
Global |
Organizația Mondială a Sănătății (OMS) |
|
|
|
10 februarie |
Atenționare |
USA |
|
|
|
|
12 februarie |
Phishing Malware |
|
|
Azorult |
Campanie de informare despre întreruperea globală a transporturilor din cauza COVID-19 |
|
13 februarie |
Phishing Malware |
Brazilia |
|
Kiron |
Website care promite o listă cu spitale disponibile pentru preluarea rapidă a bolnavilor |
|
17 februarie |
Atenționare |
Global |
|
|
|
|
Februarie |
Scam |
Global |
Departamentul Sănătății din Hong Kong |
|
E-mail-uri în care se cer donații |
|
20 februarie |
Dezinformare |
Ucraina |
Ministerul Sănătății din Ucraina |
|
Informații false despre existența a 5 cazuri în Ucraina, într-un e-mail trimis către lista de contacte a Ministerului Sănătății. Serviciul de Securitate ucrainian a comunicat public faptul că acel mesaj a fost transmis din afara țării. Ulterior, s-a răspândit știrea falsă că personal medical ucrainian ar începe să părăsească spitalul din care fac parte. |
|
20 februarie |
Promovare de tool malițios |
|
|
Malware |
Un pre-loader, acompaniat de o hartă interactivă falsă a infecțiilor, afișată în timp real. |
|
27 februarie |
Phishing Malware |
|
|
Remcos |
Sfaturi de protecție atașate e-mail-ului. Victimele sunt trimise să acceseze un executabil: CoronaVirusSafetyMeasures_pdf.exe |
|
2 martie |
Fraudă |
USA |
|
|
Amazon anunță blocarea a peste 1 milion de produse din cauza creșterii exagerate a prețurilor sau a reclamei false la produse folosite în combaterea sau protejarea de Coronavirus. |
|
4 martie |
Spam |
Europa |
Organizația Mondială a Sănătății (OMS) |
|
E-mail-uri care au ca subiect COVID-19, aparent trimise de OMS, venite de la domeniul who.com (cel legitim fiind who.int) |
|
4 martie |
Phishing Malware |
Italia |
Un specialist fals oferă sfaturi |
Trickbot |
Document Word malițios atașat. Subiect: coronavirus, informații importante despre precauție. |
|
6 martie |
Atenționare |
USA |
|
|
|
|
11 martie |
Malware |
USA |
|
Azorult |
|
|
februarie-martie |
Scam |
Global |
|
|
Email-uri de tip scam care cer schimbarea conturilor în care urmează să se efectueze o plată către furnizori/parteneri. Motivul invocat de atacatori pentru schimbarea de ultim moment al contului este situația Coronavirus la nivel mondial, care a dus la o lipsă de mobilitate. |
Tehnici, tactici și proceduri (TTPs) folosite în astfel de campanii malițioase:
| Etapă Kill Chain |
Tehnici și instrumente |
Atac |
|
Pregătire malware (Weaponization) |
Se pot folosi documente aparent legitime sau imagini, pentru a masca codul malițios |
|
|
Livrare (Delivery) |
Link de phishing Atașament spear-phishing Spear-phishing via service |
|
|
Instalare |
Executarea efectuată de utilizator |
Recomandări de protecție/remediere
- Evitarea introducerii de date personale pe site-uri nesigure sau neoficiale (ex: care oferă posibilitatea generării de formulare necesare deplasării în afara locuinței, pe perioada restricțiilor determinate de răspândirea COVID-19)
- Restricționarea conținutului web
- Pregătirea utilizatorilor
- Antivirus
- Prevenția intruziunilor în rețea
- Prevenția execuției
Surse
- CERT-EU
- MITRE
- Organziația Mondială a Sănătății
- DomainTools
- FTC
- US-CERT
Postat în: alerte cybersecurity awareness
Vizualizat de 10379 ori
