Get best of the week

Cyber-Angriffe mit COVID-19



Die Coronavirus-Pandemie COVID-19 wird als Köder in böswilligen Kampagnen verwendet, die Social-Engineering-Techniken verwenden, darunter Spam, Malware, VerschlĂŒsseler und bösartige DomĂ€nen. Da die Anzahl der Infektionen um Tausende zunimmt, gewinnen auch die entsprechenden böswilligen Kampagnen an Dynamik. Spezialisten finden stĂ€ndig neue Beispiele fĂŒr solche bösartigen Kampagnen im Zusammenhang mit Coronavirus.

UFO Care Minute


COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .



, .

, , .

: |

Coronavirus- Spam PandaLabs-

Experten haben festgestellt, dass Spam-E-Mails im Zusammenhang mit Coronavirus fast weltweit gesendet und empfangen werden, einschließlich LĂ€ndern wie den USA, Japan, Russland und China. Viele dieser Briefe, die aussehen, als wĂ€ren sie von offiziellen Organisationen verschickt worden, enthalten aktualisierte Informationen und Empfehlungen zur Pandemie. Wie die meisten Spam-Kampagnen enthalten sie auch böswillige AnhĂ€nge.

Ein Beispiel ist Spam mit der Betreffzeile "Corona Virus Latest Updates", die angeblich vom Gesundheitsministerium gesendet wurde. Es enthĂ€lt Empfehlungen zur Verhinderung einer Infektion, und der Brief enthĂ€lt einen Anhang, der angeblich aktualisierte Informationen ĂŒber das Coronavirus COVID-19 enthĂ€lt. In der Tat enthĂ€lt es Malware.



Andere Spam-Nachrichten ĂŒber Coronavirus beziehen sich auf LebensmittelvorrĂ€te, die durch die Ausbreitung der Infektion gestört wurden.



Das folgende italienische Spam-Beispiel enthÀlt wichtige Informationen zum Coronavirus:



Dieser portugiesische Brief verspricht neue Informationen zum
angeblichen Impfstoff gegen COVID-19.



Es gab FÀlle, in denen Anti-Coronavirus-Medikamente im Betreff von Spam-E-Mails erwÀhnt wurden, um Menschen zum Herunterladen bösartiger AnhÀnge zu bewegen. Manchmal ist ein solcher böswilliger Anhang HawkEye Reborn , eine Variante des HawkEye-Trojaners, der Informationen stiehlt.



Indikatoren Kompromiss fĂŒr schĂ€dliche AnhĂ€nge


SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be



In diesem Fall werden die Indikatoren beeintrÀchtigt:



SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

Eine weitere Spam-Kampagne richtete sich an Nutzer in Italien, einem Land, das von der Pandemie schwer getroffen wurde. Der Betreff und der Textkörper der Buchstaben enthalten den Text „Coronavirus: Wichtige Informationen zu Vorsichtsmaßnahmen“. Der Hauptteil des Schreibens besagt, dass der Anhang im Schreiben ein Dokument der Weltgesundheitsorganisation (WHO) ist. Daher wird dringend empfohlen, dieses angehĂ€ngte Microsoft Word-Dokument herunterzuladen, das einen Trojaner enthĂ€lt.



Wenn der Benutzer dieses Dokument öffnet, wird die folgende Meldung angezeigt, die den Benutzer zwingt, Makros zu aktivieren: SHA-256-



Kompromissindikatoren (IOC) dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2






Malware - Programmierer und die damit verbundenen Corona

Der Service 100% Klassifizierung Antiviren - Labor Pandalabs konnte diese bösartige ausfĂŒhrbare Dateien mit diesen Kampagnen zugeordnet identifizieren und blockieren:



CORONA VIRUS BETROFFEN das UND CREW VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56fb82d7e333454e923

LISTE DES CORONA-VIRUS
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd

Andere Forscher haben gesehen, wie Cyber - Kriminelle Online - Karte Überwachung corona Krankheit verwenden, ersetzt sie Websites feykovye , von dem es herunterlĂ€dt und installiert Malware. Im Folgenden sind die Hashes von bösartigen Anwendungen:



2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

Eine neue Version der Ransomware CoronaVirus, die fĂŒr die Verbreitung einer gefĂ€lschten Site zur Optimierung des Systems verwendet wurde. Die Opfer haben die Datei WSGSetup.exe unwissentlich von dieser Website heruntergeladen. Dann fungierte diese Datei als Downloader fĂŒr zwei Arten von Malware: die CoronaVirus-Ransomware und den Trojan Kpot- Passwort- Stealer .

Diese Kampagne ist Teil des neuesten Trends unter Kryptographen: Sie kombiniert DatenverschlĂŒsselung mit Informationsdiebstahl.

DarĂŒber hinaus wurde eine andere Ransomware namens CovidLoc bemerktk, betrifft jetzt mobile Benutzer. Diese Ransomware stammt von einer bösartigen Android-Anwendung, die angeblich dabei hilft, COVID-19-Infektionen zu verfolgen.

Die Ransomware blockiert das Handy seines Opfers und gibt ihm nur 48 Stunden Zeit, um ein Lösegeld in Höhe von 100 US-Dollar an Bitcoins zu zahlen, um den Zugriff auf sein GerÀt wiederherzustellen. Andernfalls droht dem Opfer, alle Daten vom Telefon zu löschen und die Daten seiner Konten in sozialen Netzwerken zu stehlen.

Coronavirus-bezogene DomÀnen



DarĂŒber hinaus hat die Anzahl der Domain-Namen, die das Wort „Corona“ in ihrem Namen verwenden , deutlich zugenommen . Nachfolgend listen wir die folgenden schĂ€dlichen Domains auf:

  • acccorona [.] com
  • alphacoronavirusvaccine [.] com
  • Anticoronaprodukte [.] com
  • PrĂŒgelkorona [.] com
  • Beatingcoronavirus [.] com
  • bestcorona [.] com
  • betacoronavirusvaccine [.] com
  • buycoronavirusfacemasks [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • combatcorona [.] com
  • contra-coronavirus [.] com
  • corona-blindado [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • corona explicada [.] com
  • corona-iran [.] com
  • corona-ratgeber [.] com
  • coronadatabase [.] com
  • coronadeathpool [.] com
  • coronadetect [.] com
  • coronadetection [.] com


Funktionsweise dieser Angriffe

Tatsache ist, dass alle diese Angriffe Penetrationsvektoren verwenden, die als „traditionell“ angesehen werden können. Alle diese Vektoren können mit herkömmlichen Antivirenlösungen geschlossen werden, um EndgerĂ€te zu schĂŒtzen. In diesem Fall verwendet PandaLabs die folgenden Mechanismen, um Bedrohungen zu erkennen und zu blockieren:

‱ Ein 100% iger Klassifizierungsdienst , der jede BinĂ€rdatei klassifiziert und nur diejenigen zulĂ€sst, die von einem Cloud-System mit kĂŒnstlicher Intelligenz ĂŒberprĂŒft werden.
‱ EDR-Technologien und insbesondere das Indikatorerkennungssystem Angriffe (IoA) nach Verhalten und Kontext .

Aus unserer Sicht sind Spam-E-Mails mit Social-Engineering-Technologien das hĂ€ufigste Beispiel fĂŒr Angriffe. Solche Buchstaben enthalten eine Pipette, die die BinĂ€rdatei hier lĂ€dt:

C: \ Benutzer \ Benutzer \ AppData \ Local \ Temp \ qeSw.exe
Hash: 258ED03A6E4D9012F8102C635A5E3DCD Panda-

Lösungen erkennen die Pipette als Trj / GdSda.A Diese BinĂ€rdatei verschlĂŒsselt den Computer (Prozess: vssadmin). exe) und entfernt Schattenkopien mit dem Prozess conhost.exe. Offizielle Quellen fĂŒr IoC Das spanische nationale Kryptografiezentrum verfĂŒgt ĂŒber eine umfassende Liste von Kompromissindikatoren (IoC) auf der Ebene von Hashes, IP-Adressen und DomĂ€nen: www.ccn.cni.es/index.php/en .






Informationen finden Sie hier:
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

So schĂŒtzen Sie sich vor diesen und anderen Cyber-Bedrohungen

Dank des 100% -Klassifizierungsdienstes, der alle BinÀrdateien vor dem Start klassifiziert und den Start bösartiger BinÀrdateien blockiert Dateien, Endpoint Protection-Lösungen mit erweiterten Schutzoptionen sind sehr effektiv, um böswillige Kampagnen wie viele andere zu stoppen.

Der Dienst verwendet einen hocheffizienten Mechanismus, um Malware und Ransomware vor dem Start zu erkennen und zu entfernen, unabhÀngig davon, ob es sich um neue Bedrohungsoptionen oder neue bösartige DomÀnen handelt, wie dies bei mit COVID-19 verbundenen bösartigen Objekten der Fall ist.

Verhaltens- und kontextbezogene Angriffsindikatoren (IoA)Erkennen und blockieren Sie ungewöhnliche Verhaltensmuster auf geschĂŒtzten GerĂ€ten: Laden Sie beispielsweise eine ausfĂŒhrbare Datei aus Word herunter oder versuchen Sie, auf unbekannte oder schĂ€dliche URLs zuzugreifen. Jeder Versuch, das GerĂ€t zu gefĂ€hrden, wird sofort blockiert und die AusfĂŒhrung böswilliger Aktionen und die Verbindung zu böswilligen DomĂ€nen wird gestoppt.

More articles:


All Articles