ALERTA: Exploatarea subiectului CORONAVIRUS pentru lansarea de campanii frauduloase împotriva utilizatorilor în mediul cibernetic

2020/03/14
Popularitate 1279

Atenție!

  • Interesul ridicat al publicului față de Coronavirus este exploatat de infractorii din mediul cibernetic și sporește numărul campaniilor de dezinformare.
  • Cel puțin șase tipuri diferite de malware au fost distribuite prin e-mail, mesajele având ca subiect Coronavirus.
  • Cel puțin două operațiuni cu finanțatori statali au fost raportate la nivel mondial.

Sumar

Din cauza pandemiei de Coronavirus (denumit oficial COVID-19), a fost exploatat interesul ridicat al publicului atât față de răspândirea virusului, cât și față de metodele de infecție și prevenire a acestuia.

Infractorii din mediul cibernetic profită de contextul creat și lansează campanii de tip scam sau malware, preponderent prin e-mail. Mai mult, experții în cybersecurity de la DomainTools atrag atenția asupra faptului că în ultimele săptămâni a crescut numărul înregistrărilor de noi domenii care au în denumire coronavirus sau covid. Monitorizarea lor a dus la concluzia că majoritatea sunt implicate în campanii malițioase.

În plus, în decursul ultimelor două săptămâni, interesul generat în jurul COVID-19 este exploatat și pentru a dezinforma în scopuri politice:

  • În Ucraina, în data de 20 februarie 2020 au avut loc proteste publice și confruntări în baza unor informații false ce susțineau că numărul victimelor a crescut din cauza repatrierii persoanelor infectate aflate în străinătate.
  • Conform oficialilor americani, mii de conturi de social media de proveniență rusească, printr-un efort coordonat, au lansat informații și alerte false în legătura cu Coronavirus, îngreunând lupta împotriva acestui virus la nivel global.

Temele cele mai întâlnite în cadrul acestor campanii de phishing au fost următoarele:

  • Informații în timp real despre infecțiile cu Coronavirus

Accesați doar surse de încredere la nivel global și evitați instalarea de aplicații sau software pentru afișarea automatizată a acestor informații pe dispozitivele dvs!

  • Alerte în numele centrelor de boli infecțioase
  • Informații despre răspândirea Coronavirus
  • Sfaturi din partea experților
  • Analize asupra impactului pandemiei în diferite domenii de activitate, îndeosebi în sectorul economic
  • Oferte de investiție în diferite măsuri de protecție, remedii, vaccinuri și alte medicamente miraculoase
  • Informații „interesante” și videoclipuri cu privire la Coronavirus
  • Informații false cu privire la originea virusului, cât și învinuirea anumitor state pentru crearea și răspândirea acestuia
  • Știri false cu privire la numărul victimelor și a modului în care guvernele gestionează situația, ce au scopul de a răspândi frică și nemulțumire în rândurile populației.

 

Principalele metode utilizate pentru înșelarea victimelor au fost următoarele:

  • E-mail-uri de tip phishing
  • Atașamente malițioase (MS-Word, PDF, imagini, etc.)
  • Link-uri malițioase
  • Site-uri false, inclusiv un caz în care era impersonată Organizația Mondiala de Sănătate
  • Site-uri ce solicită credențialele de e-mail pentru a permite descărcarea fișierelor
  • Descărcări de fișiere ce conțin aplicații malițioase.

Principalele familii de malware utilizate au fost:

  • Emotet – un troian utilizat frecvent ca intermediar pentru distribuirea altor tipuri de malware, inclusiv ransomware
  • Azorult – un malware utilizat pentru furtul de credențiale
  • Kiron – un troian bancar de origine braziliană
  • Lokibot – un troian utilizat pentru furtul de informații
  • Remcos – reprezintă un troian ce permite accesul remote (RAT)
  • Trickbot – un troian bancar
  • Alte tipuri de malware mai puțin cunoscute ce urmăresc colectarea și exfiltrarea informațiilor victimelor.

Observații

Pe măsură ce situația Coronavirusului evoluează, autoritățile UE responsabile răspund cu informații utile, atenționări și alte măsuri pentru prevenirea sau izolarea virusului.

Calendar al campaniilor malițioase care se folosesc de subiectul COVID-19

Dată

Tip

Țară

Entitate impersonată

Malware utilizat

Subiect

Final de ianuarie

Phishing

Malware

Japonia

Centre de sănătate publică

Emotet

Atașamente la e-mail-uri care ar fi trebuit să conțină recomandări pentru prevenție.

Început de februarie

Phishing

Malware

USA, UK

Centre de control și prevenție (CDC)

 

Alerte CDC, liste actualizate de cazuri din proximitatea victimei.

Măsuri de protecție sub forma unor atașamente .pdf. 

4 februarie

Phishing

Malware

 

Ministerul Sănătății (China)

Lokibot

Măsuri de urgență privind Coronavirus.

5 februarie

Phishing

Global

Organizația Mondială a Sănătății (OMS)

 

Măsuri de securitate, cu trimitere la o pagină unde utilizatorii sunt păcăliți să introducă credențiale

10 februarie

Atenționare

USA

 

 

FTC (US Federeal Trade Commission) publică un avertisment despre modalitățile în care subiectul COVID-19 poate fi utilizat de infractorii din online

12 februarie

Phishing

Malware

 

 

Azorult

Campanie de informare despre întreruperea globală a transporturilor din cauza COVID-19

13 februarie

Phishing

Malware

Brazilia

 

Kiron

Website care promite o listă cu spitale disponibile pentru preluarea rapidă a bolnavilor

17 februarie

Atenționare

Global

 

 

OMS publică o atenționare de securitate cibernetică

Februarie

Scam

Global

Departamentul Sănătății din Hong Kong

 

E-mail-uri în care se cer donații

20 februarie

Dezinformare

Ucraina

Ministerul Sănătății din Ucraina

 

Informații false despre existența a 5 cazuri în Ucraina, într-un e-mail trimis către lista de contacte a Ministerului Sănătății. Serviciul de Securitate ucrainian a comunicat public faptul că acel mesaj a fost transmis din afara țării. Ulterior, s-a răspândit știrea falsă că personal medical ucrainian ar începe să părăsească spitalul din care fac parte. 

20 februarie

Promovare de tool malițios

 

 

Malware

Un pre-loader, acompaniat de o hartă interactivă falsă a infecțiilor, afișată în timp real.

27 februarie

Phishing

Malware

 

 

Remcos

Sfaturi de protecție atașate e-mail-ului. Victimele sunt trimise să acceseze un executabil: CoronaVirusSafetyMeasures_pdf.exe

2 martie

Fraudă

USA

 

 

Amazon anunță blocarea a peste 1 milion de produse din cauza creșterii exagerate a prețurilor sau a reclamei false la produse folosite în combaterea sau protejarea de Coronavirus.

4 martie

Spam

Europa

Organizația Mondială a Sănătății (OMS)

 

E-mail-uri care au ca subiect COVID-19, aparent trimise de OMS, venite de la domeniul who.com (cel legitim fiind who.int)

4 martie

Phishing

Malware

Italia

Un specialist fals oferă sfaturi

Trickbot

Document Word malițios atașat.

Subiect: coronavirus, informații importante despre precauție.

6 martie

Atenționare

USA

 

 

US-CERT publică o alertă de informare a cetățenilor cu sfaturi despre cum să evite campaniile de tip scam din această perioadă.

11 martie

Malware

USA

 

Azorult

Un website malițios pretinde că afișează o hartă globală live COVID-19 de la John Hopkins University (USA). Universitatea atrage atenția asupra campaniei de infectarea cu malware care extrage credențiale de acces.

februarie-martie 

Scam

Global

 

 

Email-uri de tip scam care cer schimbarea conturilor în care urmează să se efectueze o plată către furnizori/parteneri. Motivul invocat de atacatori pentru schimbarea de ultim moment al contului este situația Coronavirus la nivel mondial, care a dus la o lipsă de mobilitate. 

 

Tehnici, tactici și proceduri (TTPs) folosite în astfel de campanii malițioase:

 Etapă Kill Chain

Tehnici și instrumente

Atac

Pregătire malware

(Weaponization)

Se pot folosi documente aparent legitime sau imagini, pentru a masca codul malițios

 

Livrare

(Delivery)

Link de phishing

Atașament spear-phishing

Spear-phishing via service

T1192/T1193/T1194

Instalare

Executarea efectuată de utilizator

T1204

Recomandări de protecție/remediere


Surse

  • CERT-EU
  • MITRE
  • Organziația Mondială a Sănătății
  • DomainTools
  • FTC
  • US-CERT


Vizualizat de 7296 ori