Кибер-атаки, использующие COVID-19

Кибер-атаки, использующие COVID-19
Пандемия с коронавирусом COVID-19 используется в качестве приманки во вредоносных кампаниях с применением техник социальной инженерии, включая спам, вредоносные программы, шифровальщики и вредоносные домены. По мере того как количество случаев заражения увеличивается уже тысячами, также набирают обороты и соответствующие вредоносные кампании. Эксперты Panda постоянно находят новые образцы подобных вредоносных кампаний, связанных с коронавирусом.
Спам, связанный с коронавирусом
Эксперты Panda обнаружили отправление и получение спамовых писем, связанных с коронавирусом, практически во всем мире, включая и такие страны как США, Японию, Россию и Китай. Во многих из этих писем, которые выглядят так, словно они отправлены из официальных организаций, утверждается, что они содержат обновленную информацию и рекомендации относительно пандемии. Как и большинство спам-кампаний, они также содержат и вредоносные вложения.
Один из примеров - спам с темой письма "Corona Virus Latest Updates ", якобы отправленный Министерством здравоохранения. Содержит рекомендации о том, как предотвратить заражение, а в письме имеется вложение, которое якобы содержит обновленную информацию о коронавирусе COVID-19. Впрочем, на самом деле оно содержит вредоносную программу.


Другие спамовые письма про коронавирус связаны с поставками продуктов питания, которые были нарушены в результате распространения инфекции.


Следующий  пример  спама  на  итальянском  языке  содержит  важную  информацию  о коронавирусе:



Следующее    письмо    на    португальском    языке    обещает    новую    информацию    о предполагаемой вакцине против COVID-19.


Были случаи, когда в теме спамовых писем упоминались лекарства против коронавируса, чтобы попытаться заставить людей загрузить вредоносное вложение. Иногда таким вредоносным вложением является HawkEye Reborn - это вариант трояна HawkEye, который осуществляет кражу информации.


Индикаторы компрометации для вредоносных вложений


В этом случае индикаторы компрометации такие:


Еще одна спамовая кампания была направлена против пользователей в Италии - стране, которая сильно пострадала в результате пандемии. В теме и теле писем содержится текст“Coronavirus: important information on precautions”(Коронавирус: важная информация о мерах предосторожности). В теле письма утверждается, что вложение в письме - это документ от Всемирной организации здравоохранения (ВОЗ), а потому настоятельно рекомендуется скачать этот вложенный документ Microsoft Word, который содержит в себе трояна.


Когда пользователь открывает этот документ, то показывается следующее сообщение, заставляющее пользователя включить макросы:


Индикаторы компрометации (IOC)


Вредоносные программы и шифровальщики, связанные с коронавирусом
Благодаря нашему сервису 100% классификации, антивирусная лаборатория PandaLabs сумела идентифицировать и заблокировать следующие вредоносные исполняемые файлы, связанные с этими кампаниями:


Другие исследователи видели, как кибер-преступники использовали онлайн-карты мониторинга заболевания коронавирусом, подменяя их фейковыми веб-сайтами, с которых загружались и устанавливались вредоносные программы. Ниже приведены хэши таких вредоносных приложений:



Новый вариант шифровальщика CoronaVirus использовал для своего распространения фейковый сайт по оптимизации системы. Жертвы неосознанно скачивали с этого сайта файл WSGSetup.exe. Затем этот файл работал как загрузчик двух видов вредоносных программ: шифровальщик CoronaVirus и  троян для кражи паролей Trojan Kpot.

Данная кампания является частью последней тенденции, наблюдаемой среди шифровальщиков: она сочетает шифрование данных с кражей информации.

Более того, был замечен еще один шифровальщик под названием CovidLock , ныне поражающий пользователей мобильных устройств. Этот шифровальщик появился из вредоносного приложения для Android, которое якобы помогает отслеживать случаи заражения COVID-19. Шифровальщик блокирует сотовый телефон своей жертвы, предоставляя ему всего 48 часов для оплаты выкупа в размере 100 долларов США в биткоинах для восстановления доступа к своему устройству. Иначе жертве угрожают удалить все данные с телефона и украсть данные их аккаунтов в соцсетях.

Домены, связанные с коронавирусом

Кроме того, заметно увеличилось число доменных имен, использующих в своем названии слово "корона" (corona). Ниже мы приводим список таких вредоносных доменов:

acccorona [.] com
alphacoronavirusvaccine [.] com
anticoronaproducts [.] com
beatingcorona [.] com
beatingcoronavirus [.] com
bestcorona [.] com
betacoronavirusvaccine [.] com
buycoronavirusfacemasks [.] com
byebyecoronavirus [.] com
cdc-coronavirus [.] com
combatcorona [.] com
contra-coronavirus [.] com
corona-blindado [.] com
corona-crisis [.] com
corona-emergencia [.] com
corona explicada [.] com
corona-iran [.] com
corona-ratgeber [.] com
coronadatabase [.] com
coronadeathpool [.] com
coronadetect [.] com
coronadetection [.] com

Как работают эти атаки

Дело в том, что все эти атаки используют векторы проникновения, которые можно рассматривать как "традиционные". Мы в Panda видим, что все эти векторы могут быть закрыты традиционными антивирусными решениями для защиты конечных устройств. Мы в этом случае использует следующие механизмы для обнаружения и блокировки угроз:
  • Сервис 100% классификации, который классифицирует каждый бинарный файл и разрешает запуск только тем из них, кто проверен нашей облачной системой с искусственным интеллектом
  • EDR-технологии, особенно система обнаружения Индикаторов атак ( IoA ) по поведению и контексту.
Из того, что мы видим в нашей лаборатории, наиболее распространенным примером атак является почтовые спамовые письма с использованием технологий социального инжиниринга. Такие письма содержат дроппер, который загружает бинарный файл здесь:
C:UsersuserAppDataLocalTempqeSw.exe
Хэш: 258 ED 03 A 6 E 4 D 9012 F 8102 C 635 A 5 E 3 DCD
Решения Panda обнаруживают дроппер как Trj / GdSda . A
Данный бинарный файл шифрует компьютер (процесс: vssadmin.exe) и удаляет теневые копии с использованием процесса conhost.exe.
Официальные источники IoC
Испанский национальный криптографический центр имеет исчерпывающий список индикаторов компрометации (IoC) на уровне хэшей, IP-адресов и доменов: https://www.ccn.cni.es/index.php/en/ .
Информация может быть доступна здесь:
Как защитить себя от этих и других кибер- угроз
Благодаря сервису 100% классификации , который классифицирует все бинарные файлы до их запуска и блокирует запуск любых вредоносных бинарных файлов, решения Panda по защите конечных устройств с опциями расширенной защиты очень эффективны для остановки таких вредоносных кампаний, как и многих других.

Этот сервис использует высокоэффективный механизм для обнаружения и удаления вредоносных программ и шифровальщиков еще до их запуска независимо от того, являются  ли  они  новыми  вариантами  угроз  или  новыми  вредоносными  доменами,
как в случае с вредоносными объектами, связанными с COVID-19.

Поведенческие и контекстуальные индикаторы атак ( IoA ) обнаруживают и блокируют необычные шаблоны поведения на защищенных устройствах: например, загрузка исполняемого файла из Word или попытка доступа к неизвестным или вредоносным URL. Любая попытка компрометации устройства немедленно блокируется, а выполнение вредоносных действий и подключение к вредоносным доменам останавливается.
Оригинал статьи: https://www.cloudav.ru/mediacenter/news/covid-19/

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
Covid-19 информационная безопасность спам антиспам шифровальщики вредоносная программа
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.