Get best of the week

كيف يستخدم مجرمو الإنترنت جائحة الفيروس التاجي لأغراضهم الخاصة

لطالما كانت الأحداث البارزة مناسبة ممتازة للحملات الاحتيالية ، وبهذا المعنى ، لم يصبح جائحة الفيروس التاجي أي شيء خاص. ومع ذلك ، على الرغم من أوجه التشابه ، لا تزال هناك اختلافات: الخوف العام من العدوى جعل اسم المرض عاملاً قوياً في زيادة فعالية الهجمات. لقد جمعنا إحصائيات عن الحوادث المتعلقة بـ COVID-19 ، وسنشارك في هذا المنشور أكثر الحلقات إثارة للاهتمام.

صورة

وفقًا لمراقبتنا ، في الربع الأول من عام 2020 ، كانت رسائل البريد العشوائي المصدر الرئيسي للهجمات الإلكترونية المتعلقة بالفيروسات التاجية. زاد عدد رسائل البريد الإلكتروني هذه من شباط (فبراير) إلى آذار (مارس) 220 مرة: بلغ

صورة
عدد رسائل البريد الإلكتروني العشوائية المتعلقة بـ COVID-19

. أصبحت مواقع الويب الضارة منطقة أخرى من حملات COVID. خلال الربع الأول ، سجلنا حوالي 50 ألف عنوان URL ضار يحتوي على اسم إصابة خطيرة. من فبراير إلى مارس ، زاد عدد هذه المواقع بنسبة 260٪: أظهر

صورة
عدد عناوين URL الضارة المرتبطة بـ COVID-19

لمطوري البرامج الضارة نشاطًا أقل. في الربع الأول ، حددنا أكثر من 700 نوعًا من مالفاري الموجه إلى COVID:

صورة
عدد البرامج الضارة ذات الصلة بـ COVID-19

وقع أكبر عدد من الهجمات على الولايات المتحدة ، لكن الدول المصابة الأخرى تعرضت للهجوم أيضًا.

دعونا ننظر في كل من هذه الفئات بمزيد من التفصيل. لنبدأ بالبرامج الضارة ، لأننا هنا نواجه ظاهرة غريبة نوعًا ما: أظهر بعض مشغلي برامج الفدية جنسية نشطة وأعلنوا أن المؤسسات الطبية لن تهاجم الوباء.

البرامج الضارة


أعادت فرصة الاستفادة من موضوع ساخن العديد من المحاربين القدامى إلى الحياة. على سبيل المثال ، ظهرت نسخة تحمل علامة COVID من Trojan Banking Zeus Sphinx ، والتي تم توزيعها باستخدام توزيع مستند Microsoft Word محمي بكلمة مرور باسم "الإغاثة COVID 19".

صورة
إذا قام المستخدم بفتح المرفق ، وإدخال كلمة المرور وتضمنت وحدات الماكرو ، تم تثبيت زيوس أبو الهول على جهاز الكمبيوتر الخاص به. المصدر (فيما يلي ، ما لم يُذكر خلاف ذلك): Trend Micro

تصرف مشغلو البرامج الضارة AZORult في الأصل: قاموا بإنشاء نسخة عمل من موقع جامعة جونز هوبكنز مع خريطة توزيع لفيروس كورون على المجال Corona-Virus-Map.com (معطل الآن). للحصول على مزيد من المعلومات التشغيلية ، طُلب من الزوار تنزيل التطبيق على جهاز الكمبيوتر.

صورة
تمت الموافقة على عرض نشر موقع مزيف للفيروسات حول تثبيت برامج إضافية ، تم استلامه على أجهزتهم

تم تقسيم مشغلي AZORult Ransomware إلى مجموعتين: أعلن بعضهم أنهم لن يهاجموا المستشفيات والمستشفيات والمنشآت الطبية أثناء الوباء ، بينما استمر الباقي نشاطها الخبيث دون أي قيود.
اشتركت CLOP Ransomware و DoppelPaymer Ransomware و Maze Ransomware و Nefilim Ransomware في نادي Noble Pirates ، بينما قال Netwalker أنهم لا يختارون المستشفيات على وجه التحديد ، ولكن إذا وجد أي منهم ملفاتهم مشفرة ، فدفع فدية.
لم يدلي مشغلو Ryuk وبرامج الفدية الأخرى بأي تصريحات ، ولكنهم استمروا في الهجوم ببساطة.

صورة
يؤكد المستخدمون استمرار تشغيل

Ryuk على الرغم من انتشار فيروس CovidLock Mobile الوبائي من خلال موقع الويب الخاص به كملف apk لتجنب حظره في متاجر التطبيقات الرسمية.

صورة
لخلق وهم من الموثوقية والجودة ، يستخدم المؤلفون CovidLock تصنيف الصور لسوق Play ، بالإضافة إلى شعارات منظمة الصحة العالمية ومركز التحكم ومنع

المؤلفين من البرامج الضارة التي تدعي أن التطبيق يوفر تتبعًا في الوقت الفعلي لتفشي فيروسات كورونا "في شارعك وفي المدينة وفي الولاية »في أكثر من 100 دولة.

واستخدم مؤلفو مُنشئ البرامج الضارة Oski الطريقة الأصلية لتوزيع تطبيقاتهم:
• مسح الإنترنت بحثًا عن أجهزة التوجيه المنزلية الضعيفة D-Link و Linksys ،
• باستخدام الثغرات الأمنية ، تمكنوا من الوصول إلى الإدارة وغيروا إعدادات خوادم DNS الخاصة بهم:

صورة
عندما قام المستخدمون المتصلون بأجهزة التوجيه بإدخال أي عنوان في المتصفح ، تمت إعادة توجيههم إلى موقع الاحتيال ، الذي اقترح نيابة عن منظمة الصحة العالمية تنزيل وتثبيت تطبيق Inform COVID-19 Inform. المستخدمين الذين قاموا بتثبيت "المخبر" حصلوا على Oski infostiller بدلاً منه

القوائم البريدية


يخيف مؤلفو العديد من الرسائل البريدية وحتى يبتزون متلقي رسائلهم لإجبارهم على فتح المرفق واتباع تعليمات أخرى.
تلقى مواطنون كنديون رسالة إخبارية نيابة عن ماري ، موظفة المركز الطبي. في الرسالة ، قالت ماريا أنه وفقًا للمعلومات الواردة ، كان مستلم الرسالة على اتصال بمريض فيروس التاجي ، لذا كان بحاجة لملء النموذج المرفق في أقرب وقت ممكن والاتصال بأقرب مستشفى للاختبار:

صورة
عندما فتحت الضحية الخائفة المرفق ، طُلب منها السماح بتنفيذ وحدات الماكرو ، بعد ما تم تثبيته على جهاز infostiller الخاص بالكمبيوتر ، والذي جمع البيانات المخزنة ، وأرسل إلى المهاجمين ، ومعلومات حول البطاقات المصرفية ومحافظ التشفير

تعرضت إيطاليا ، باعتبارها واحدة من الدول الرائدة من حيث عدد الفيروسات التاجية المصابة ، من قبل المهاجمين. لقد سجلنا أكثر من 6000 رسالة بريدية تتعلق بموضوع الوباء.
على سبيل المثال ، في إحدى هذه الحملات ، تم إرسال رسائل باللغة الإيطالية ، حيث اقترح المرسل نيابة عن منظمة الصحة العالمية أن يتعرف المستلم على الفور على احتياطات فيروسات التاجية في المستند المرفق:

صورة
عند فتح المستند ، تم طلب إذن لتنفيذ وحدات الماكرو ، وإذا أعطته الضحية ، تم تثبيت حصان طروادة على الكمبيوتر

ارتبطت العديد من الرسائل البريدية بالتسليم أو التأجيل بسبب انتشار المرض. على سبيل المثال ، في إحدى هذه الرسائل ، يُزعم أنها مرسلة من اليابان ، تم الإبلاغ عن تأخر في التسليم واقترح التعرف على الجدول المرفق في المرفق:

صورة
عند فتح المرفق من الأرشيف ، تم تثبيت برنامج ضار على الكمبيوتر

مواقع الاحتيال


لم يسجل مجرمو الإنترنت المجالات المرتبطة بالوباء فحسب ، بل استخدموها بنشاط أيضًا في الأنشطة الاحتيالية.
على سبيل المثال ، اقترح موقع antivirus-covid19.neccotal تمامًا الموقع تنزيل وتثبيت تطبيق Corona Antivirus على جهاز الكمبيوتر الخاص بك للحماية من العدوى.
لم يكشف المؤلفون عن آلية عمل "مضاد الفيروسات" ، وأولئك الذين ، لسبب ما ، قاموا بتنزيل البرنامج وتثبيته ، ينتظرون مفاجأة غير سارة في شكل BlactNET RAT المثبت في الخلف. عرض

صورة
أصحاب المواقع الأخرى على زوارهم طلب لقاح مجاني ضد فيروسات التاجية ، ودفع 4 فقط ، 95 دولار للتسليم

قام موقع coronaviruscovid19-information [.] Com / en بدعوة الزائرين لتنزيل تطبيق محمول لإنشاء دواء لفيروس كوروناف. كان التطبيق عبارة عن حصان طروادة مصرفي يسرق معلومات حول البطاقات المصرفية وأوراق اعتماد الأنظمة المصرفية عبر الإنترنت.
وقام موقع uk-covid-19-Relieve [.] Com بتقليد تصميم المواقع الحكومية في المملكة المتحدة ، وتحت غطاء دفع المساعدة لضحايا جائحة الفيروسات التاجية ، قام بجمع البيانات الشخصية والمعلومات حول البطاقات المصرفية.

التهديدات المرتبطة


لا يكتب مؤلفو العديد من الحملات كلمة عن الفيروس التاجي ، لكنهم يستخدمون بنجاح الحالة التي نشأت فيما يتعلق بالوباء. تشمل هذه الفئة ، على سبيل المثال ، الرسائل النصية القصيرة مع طلب دفع غرامة لانتهاك نظام العزل الذاتي:

صورة
يتوقع مؤلفو الرسالة أن أحد المستلمين قد انتهك النظام حقًا وسيفي بالمتطلبات بسهولة.

وقد أدى الحجر الصحي المقدم عالميًا إلى عمل الكثير من الأشخاص عن بعد ، ونتيجة لذلك كان هناك نمو هائل في شعبية تطبيقات مؤتمرات الفيديو ، والتي لم تبطئ من قبل المحتالين عبر الإنترنت. على سبيل المثال ، منذ بداية جائحة COVID-19 ، تم تسجيل أكثر من 1700 نطاق تكبير / تصغير ضار.

صورة
عرضت بعض هذه المواقع تثبيت عميل لخدمة شعبية ، ولكن بدلاً من ذلك ، تلقى الضحايا برامج InstallCore الضارة ، التي قام المهاجمون بتنزيل مجموعات إضافية من الأدوات الخبيثة على أجهزة الكمبيوتر الخاصة بهم.

وقدمت العديد من الخدمات اشتراكات متميزة للجميع لفترة وبائية ، ولم يتباطأوا بسبب هذا الكرم استفد من المحتالين.
بدأت الحملة بإرسال رسالة إلى Facebook Messenger ، تقدم فيما يتعلق بالحجر الصحي في غضون شهرين للحصول على وصول مجاني إلى Netflix Premium. إذا قام المستخدم بتسجيل الدخول إلى حساب Facebook واتباع الرابط ، فقد تلقى طلبًا للوصول من تطبيق Netflix. بخلاف ذلك ، تمت مطالبة المستخدم ببيانات اعتماد للدخول إلى الشبكة الاجتماعية ، وبعد تسجيل الدخول بنجاح ، تمت إعادة توجيهه إلى الصفحة باستخدام طلب الإذن. عندما وافق المستخدم على المتابعة ، تم فتح صفحة احتيالية تتضمن "عرض Netflix" واستبيانًا يجب إكماله لتلقي هدية:

صورة

يحتوي الاستطلاع على أسئلة عشوائية ويقبل أي إجابة يدخلها المستخدم. في نهاية الاستطلاع ، يُعرض على المستخدم مشاركة الموقع مع عشرين صديقًا أو خمس مجموعات من أجل الحصول على "اشتراك متميز"

بغض النظر عن الزر الذي ينقر عليه المستخدم في نهاية الاستطلاع ، سيتم إعادة توجيهه إلى صفحة تطلب الوصول إلى Facebook. في هذه الخطوة ، يُقترح مرة أخرى مشاركة رابط ضار مع جهات الاتصال الخاصة بك.
لتسهيل هذه العملية ، يقوم المحتالون بإنشاء منشور ، لذلك لا يمكن للضحية التي خرقت بيانات اعتماده الضغط على زر للنشر فقط.

كن يقظًا للدفاع عن نفسك


يستخدم المجرمون بنشاط موضوع الجائحة في الحملات الاحتيالية. لمواجهتها ، يجب مراعاة التوصيات التالية:

  1. لا تتبع روابط مرسلين غير مألوفين ولا تشاركها مع أصدقائك ،
  2. تحقق من شرعية مصدر المعلومات ،
  3. تحقق من عنوان URL للموقع الذي يطلب منك أي معلومات ،
  4. لا تقم بإدخال المعلومات الشخصية ومعلومات الحساب ، وكذلك معلومات الدفع على المواقع التي لم يتم التحقق منها.

الموقف الجزئي للاتجاه الوبائي


نحن نتفهم أن الوضع يتطور بسرعة ، وأن البيانات الجديدة تصل كل يوم ، لذلك نقوم باستمرار بتحديث معلوماتنا من أجل تقديم أفضل الخدمات على الإطلاق التي يتوقعها العملاء والشركاء والموردون.

حتى لا تؤثر الأزمة الناتجة عن فيروس COVID-19 على قابلية استخدام منتجات Trend Micro ، فإننا نعتني بسلامة موظفينا:

  • اتباع تعليمات السلطات المحلية في جميع البلدان ؛
  • العمل عن بعد؛
  • حركة محدودة
  • نحن يقظين ونستخدم معدات الحماية.

نحن متفائلون بشأن المستقبل ونعتقد أن الوضع الصعب الحالي سيساعد على إدخال طرق جديدة للعمل معًا والابتكارات الأخرى ، مما سيجعل حياتنا في نهاية المطاف أكثر أمانًا.

More articles:


All Articles