Get best of the week

الهجمات السيبرانية باستخدام COVID-19



يُستخدم وباء الفيروس التاجي COVID-19 كخداع في الحملات الخبيثة باستخدام تقنيات الهندسة الاجتماعية ، بما في ذلك البريد العشوائي والبرامج الضارة والمشفرات والمجالات الخبيثة. مع زيادة عدد الإصابات بالآلاف ، تكتسب الحملات الخبيثة المقابلة زخمًا أيضًا. يجد المتخصصون باستمرار أمثلة جديدة لمثل هذه الحملات الخبيثة المرتبطة بالفيروس التاجي.

دقيقة العناية UFO


COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .



, .

, , .

: |

اكتشف

خبراء PandaLabs التالفون في مكافحة الفيروسات التاجية أن إرسال واستقبال رسائل البريد الإلكتروني العشوائية المتعلقة بفيروس التاجي في جميع أنحاء العالم تقريبًا ، بما في ذلك دول مثل الولايات المتحدة الأمريكية واليابان وروسيا والصين. العديد من هذه الرسائل ، التي يبدو أنها أرسلت من المنظمات الرسمية ، تنص على أنها تحتوي على معلومات وتوصيات محدثة بشأن الوباء. مثل معظم الحملات غير المرغوب فيها ، تحتوي أيضًا على مرفقات ضارة.

أحد الأمثلة على ذلك هو الرسائل غير المرغوب فيها مع سطر موضوع آخر تحديثات Corona Virus ، والتي يُزعم أنها مرسلة من قبل وزارة الصحة. يحتوي على توصيات حول كيفية منع العدوى ، وتحتوي الرسالة على مرفق يفترض أنه يحتوي على معلومات محدثة حول الفيروس التاجي COVID-19. في الواقع ، يحتوي على برامج ضارة.



رسائل البريد المزعج الأخرى حول الفيروس التاجي تتعلق بالإمدادات الغذائية التي تعطلها انتشار العدوى.



يحتوي المثال الإيطالي غير المرغوب فيه التالي على معلومات مهمة حول الفيروس التاجي: تعد



هذه الرسالة البرتغالية بمعلومات جديدة حول
اللقاح المزعوم ضد COVID-19.



كانت هناك حالات تم فيها ذكر الأدوية المضادة للفيروسات التاجية في موضوع رسائل البريد الإلكتروني العشوائية لمحاولة دفع الناس إلى تنزيل المرفقات الخبيثة. في بعض الأحيان يكون مثل هذا المرفق الضار هو HawkEye Reborn ، وهو نوع من HawkEye Trojan يسرق المعلومات.



مؤشرات تسوية لمرفقات خبيثة


SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be



في هذه الحالة، والمؤشرات للخطر:



SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

استهدفت حملة بريد عشوائي أخرى المستخدمين في إيطاليا ، وهي الدولة التي تضررت بشدة من الوباء. يحتوي موضوع ونص الرسائل على النص "Coronavirus: معلومات مهمة حول الاحتياطات". ينص نص الرسالة على أن المرفق في الرسالة هو مستند من منظمة الصحة العالمية (WHO) ، ولذلك يوصى بشدة بتنزيل مستند Microsoft Word المرفق ، والذي يحتوي على حصان طروادة.



عندما يفتح المستخدم هذا المستند ، يتم عرض الرسالة التالية ، مما يجبر المستخدم على تمكين وحدات الماكرو: SHA-256



مؤشرات الاختراق (IOC) dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2






المبرمجون البرمجيات الخبيثة وما يرتبط بها من الفيروسة المكللة

كان خدمة 100٪ تصنيف الفيروسات شركة باندا المختبر قادرة على تحديد ومنع هذه الملفات القابلة للتنفيذ الخبيثة المرتبطة بهذه الحملات:



CORONA VIRUS المتضررة وCREW VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56fb82d7e333454e923

قائمة فيروسات كورونا
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd

شهدت باحثون آخرون كيف يستخدم مجرمو الإنترنت بطاقة الإنترنت مراقبة المرض التاجى، والاستعاضة عنها feykovye المواقع من خلاله تنزيل وتثبيت البرامج الضارة. بالأسفل التجزئة من التطبيقات الخبيثة:



2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

نسخة جديدة من برامج الفدية CoronaVirus تستخدم لتوزيعها موقع مزيف لتحسين النظام. قام الضحايا بتنزيل ملف WSGSetup.exe من هذا الموقع دون علم. ثم عمل هذا الملف لتنزيل نوعين من البرامج الضارة: برنامج CoronaVirus Ransomware وسرقة كلمات مرور Trojan Kpot .

هذه الحملة هي جزء من أحدث اتجاه بين المبرمجين: فهي تجمع بين تشفير البيانات وسرقة المعلومات.

علاوة على ذلك ، لوحظ وجود برنامج فدية آخر يسمى CovidLocك ، تؤثر الآن على مستخدمي الجوال. جاء برنامج الفدية هذا من تطبيق Android ضار يُفترض أنه يساعد على تتبع إصابات COVID-19.

يحظر برنامج الفدية الهاتف الخلوي لضحيته ، مما يمنحه 48 ساعة فقط لدفع فدية بقيمة 100 دولار في عملات البيتكوين لاستعادة الوصول إلى جهازه. خلاف ذلك ، يتم تهديد الضحية بحذف جميع البيانات من الهاتف وسرقة بيانات حساباتهم على الشبكات الاجتماعية.

المجالات المتعلقة بالفيروس التاجي



بالإضافة إلى ذلك، عدد أسماء النطاقات التي تستخدم كلمة "كورونا" في اسمهم قد زاد بشكل ملحوظ . نذكر أدناه المجالات الخبيثة التالية:

  • acccorona [.] com
  • alphacoronavirusvaccine [.] com
  • منتجات مضادة للسرطان
  • beatingcorona [.] com
  • beatingcoronavirus [.] com
  • bestcorona [.] com
  • betacoronavirusvaccine [.] com
  • buycoronavirusfacemasks [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • combatcorona [.] com
  • contra-coronavirus [.] com
  • corona-blindado [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • corona explicada [.] com
  • corona-iran [.] com
  • corona-ratgeber [.] com
  • coronadatabase [.] com
  • coronadeathpool [.] com
  • coronadetect [.] com
  • coronadetection [.] com


كيف تعمل هذه الهجمات

الحقيقة هي أن كل هذه الهجمات تستخدم نواقل اختراق ، والتي يمكن اعتبارها "تقليدية". يمكن إغلاق جميع هذه المتجهات بواسطة حلول مكافحة الفيروسات التقليدية لحماية الأجهزة الطرفية. في هذه الحالة ، يستخدم PandaLabs الآليات التالية لاكتشاف التهديدات وحظرها:

خدمة تصنيف 100٪ تصنف كل ملف ثنائي وتسمح فقط للأشخاص الذين يتم فحصهم بواسطة نظام سحابي بذكاء اصطناعي
• تقنيات EDR ، وخاصة نظام الكشف عن المؤشرات الهجمات (IoA) حسب السلوك والسياق .

من ما نراه ، فإن المثال الأكثر شيوعًا للهجمات هو رسائل البريد الإلكتروني العشوائية التي تستخدم تقنيات الهندسة الاجتماعية. تحتوي هذه الرسائل على قطارة تقوم بتحميل الملف الثنائي هنا:

C: \ Users \ user \ AppData \ Local \ Temp \ qeSw.exe
Hash: 258ED03A6E4D9012F8102C635A5E3DCD Panda تقوم

حلول Panda بالكشف عن القطارة مثل Trj / GdSda.A يقوم
هذا الملف الثنائي بتشفير الكمبيوتر (العملية: vssadmin. إكس) ويزيل نسخ الظل باستخدام عملية conhost.exe.

المصادر الرسمية لـ IoC يحتوي

المركز الإسباني القومي للتشفير على قائمة شاملة بمؤشرات التوافق (IoC) على مستوى التجزئة ، وعناوين IP والمجالات: www.ccn.cni.es/index.php/en .

المعلومات متاحة هنا:
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

كيف تحمي نفسك من هذه التهديدات السيبرانية الأخرى

بفضل خدمة التصنيف 100٪ ، التي تصنف جميع الملفات الثنائية قبل إطلاقها وتحظر إطلاق أي ثنائي ثنائي ضار الملفات وحلول حماية نقطة النهاية مع خيارات الحماية المتقدمة فعالة جدًا في إيقاف الحملات الضارة مثل العديد من الحملات الأخرى.

تستخدم الخدمة آلية عالية الكفاءة للكشف عن البرامج الضارة وبرامج الفدية وإزالتها قبل إطلاقها ، بغض النظر عما إذا كانت خيارات تهديد جديدة أو مجالات ضارة جديدة ، كما هو الحال مع الكائنات الضارة المرتبطة بـ COVID-19.

مؤشرات الهجوم السلوكي والسياقي (IoA)اكتشف وحظر أنماط السلوك غير المعتادة على الأجهزة المحمية: على سبيل المثال ، تنزيل ملف قابل للتنفيذ من Word أو محاولة الوصول إلى عناوين URL غير المعروفة أو الضارة. يتم حظر أي محاولة لاختراق الجهاز على الفور ، ويتم إيقاف تنفيذ الإجراءات الضارة والاتصال بالمجالات الضارة.

More articles:


All Articles