Get best of the week

Wie Cyberkriminelle die Coronavirus-Pandemie für ihre eigenen Zwecke nutzen

Hochkarätige Ereignisse waren schon immer ein ausgezeichneter Anlass für betrügerische Kampagnen, und in diesem Sinne wurde die Coronavirus-Pandemie zu nichts Besonderem. Trotz der Ähnlichkeiten gibt es immer noch Unterschiede: Die allgemeine Angst vor einer Infektion hat den Namen der Krankheit zu einem starken Faktor für die Steigerung der Wirksamkeit von Angriffen gemacht. Wir haben Statistiken zu Vorfällen im Zusammenhang mit COVID-19 gesammelt und werden in diesem Beitrag die interessantesten Episoden vorstellen.

Bild

Laut unserer Überwachung waren Spam-Mails im ersten Quartal 2020 die Hauptquelle für Cyberangriffe im Zusammenhang mit Coronaviren. Die Anzahl solcher E-Mails von Februar bis März hat sich um das 220-fache erhöht: Die

Bild
Anzahl der Spam-E-Mails im Zusammenhang mit COVID-19

. Schädliche Websites sind zu einem weiteren Bereich von COVID-Kampagnen geworden. Im ersten Quartal haben wir ungefähr 50.000 schädliche URLs registriert, die den Namen einer gefährlichen Infektion enthalten. Von Februar bis März stieg die Anzahl solcher Websites um 260%: Die

Bild
Anzahl der mit COVID-19-

Malware-Entwicklern verbundenen schädlichen URLs zeigte nicht weniger Aktivität. Im ersten Quartal haben wir mehr als 700 Arten von COVID-orientierten Malvari identifiziert:

Bild
Anzahl der mit COVID-19 verbundenen Malware

Die meisten Angriffe fielen auf die Vereinigten Staaten, aber auch andere infizierte Länder wurden angegriffen.

Lassen Sie uns jede dieser Kategorien genauer betrachten. Beginnen wir mit Malware, denn hier sehen wir uns einem ziemlich merkwürdigen Phänomen gegenüber: Einige der Ransomware-Betreiber nahmen eine aktive Staatsbürgerschaft an und kündigten an, dass medizinische Einrichtungen die Pandemie nicht angreifen würden.

Malware


Die Gelegenheit, von einem heißen Thema zu profitieren, erweckte viele Veteranen wieder zum Leben. Beispielsweise wurde eine COVID-Version des Zeus Sphinx-Banking-Trojaners angezeigt, die mithilfe eines kennwortgeschützten Microsoft Word-Dokuments mit dem Namen „COVID 19 Relief“ verteilt wurde.

Bild
Wenn der Benutzer den Anhang öffnete, das Passwort eingab und Makros einfügte, wurde Zeus Sphinx auf seinem Computer installiert. Quelle (im Folgenden, sofern nicht anders angegeben): Trend Micro

Die Malware-Betreiber AZORult handelten ursprünglich: Sie erstellten eine Arbeitskopie der Website der Johns Hopkins University mit einer Verbreitungskarte von Coronavirus in der Domain Corona-Virus-Map.com (jetzt deaktiviert). Um weitere Betriebsinformationen zu erhalten, wurden die Besucher gebeten, die Anwendung auf den Computer herunterzuladen.

Bild
Einverstanden mit dem Angebot einer gefälschten Website zur Verbreitung von Viren über die Installation zusätzlicher Software, die auf ihrem Gerät empfangen wurde

, wurden die Betreiber von AZORult Ransomware in zwei Gruppen eingeteilt: Einige von ihnen gaben bekannt, dass sie während der Pandemie keine Krankenhäuser, Krankenhäuser und medizinischen Einrichtungen angreifen würden, während der Rest weiterging seine böswillige Aktivität ohne Einschränkungen.
CLOP Ransomware, DoppelPaymer Ransomware, Maze Ransomware und Nefilim Ransomware haben sich für den Noble Pirates Club angemeldet, während Netwalker sagte, dass sie keine Krankenhäuser auswählen, aber wenn einer von ihnen feststellt, dass seine Dateien verschlüsselt sind, zahlen Sie ein Lösegeld.
Die Betreiber von Ryuk und anderer Ransomware gaben keine Aussagen ab, sondern setzten den Angriff einfach fort.

Bild
Benutzer bestätigen, dass

Ryuk trotz der Pandemie weiter arbeitet. CovidLock Mobile Ransomware wird über seine eigene Website als APK-Datei verbreitet, um ein Blockieren in offiziellen Anwendungsspeichern zu vermeiden.

Bild
Um die Illusion von Zuverlässigkeit und Qualität zu erzeugen, verwendeten die Autoren von CovidLock Bewertungsbilder aus dem Spielemarkt sowie Logos der WHO und des Zentrums für die Kontrolle und Prävention von Krankheiten.

Die Malware-Autoren sagen, dass die Anwendung die Echtzeitverfolgung von Coronavirus-Ausbrüchen „auf Ihrer Straße, in der Stadt und im Bundesstaat“ ermöglicht »In mehr als 100 Ländern.

Und die Autoren des Oski-Malware-Infosylers verwendeten die ursprüngliche Methode zur Verbreitung ihrer Anwendung:
• Scannen Sie das Internet nach anfälligen Heimroutern D-Link und Linksys.
• Mithilfe von Sicherheitslücken erhielten sie Zugriff auf die Verwaltung und änderten die Einstellungen der DNS-Server auf ihre eigenen:

Bild
Wenn Benutzer, die mit den Routern verbunden waren, eine Adresse im Browser eingaben, wurden sie auf die Betrugsseite umgeleitet, die im Auftrag der WHO das Herunterladen und Installieren der COVID-19 Inform-Anwendung vorschlug. Die Benutzer, die den „Informer“ installiert haben, haben stattdessen den Oski-Infostiller erhalten

Mailinglisten


Die Autoren vieler Mailings erschrecken und erpressen die Empfänger ihrer Briefe, um sie zu zwingen, den Anhang zu öffnen und andere Anweisungen zu befolgen.
Kanadische Staatsbürger erhielten im Namen von Mary, einer Mitarbeiterin des medizinischen Zentrums, einen Newsletter. In dem Brief sagte Maria, dass der Empfänger des Briefes laut den erhaltenen Informationen Kontakt zu einem Coronavirus-Patienten hatte, daher musste er das beigefügte Formular so schnell wie möglich ausfüllen und sich zum Testen an das nächstgelegene Krankenhaus wenden:

Bild
Als das verängstigte Opfer den Anhang öffnete, wurde sie gebeten, die Ausführung von Makros zuzulassen Was wurde auf dem Computer-Infostiller installiert, der die gespeicherten Anmeldeinformationen, Informationen über Bankkarten und Krypto-Geldbörsen sammelte und an die Angreifer sendete

Italien, als eines der führenden Länder in Bezug auf die Anzahl der infizierten Coronaviren, wurde von Angreifern getroffen. Wir haben mehr als 6.000 Mailings zum Thema Pandemie aufgezeichnet.
In einer dieser Kampagnen wurden beispielsweise Briefe in italienischer Sprache verschickt, in denen der Absender im Namen der Weltgesundheitsorganisation dem Empfänger vorschlug, sich sofort mit den Vorsichtsmaßnahmen für Coronaviren im beigefügten Dokument vertraut zu machen:

Bild
Beim Öffnen des Dokuments wurde um Erlaubnis gebeten, Makros auszuführen, und wenn das Opfer es gab, Auf dem Computer wurde ein Trojaner installiert

Viele Mailings wurden aufgrund der Ausbreitung der Krankheit mit Zustellung oder Verschiebung in Verbindung gebracht. In einem dieser angeblich aus Japan versendeten Briefe wurde beispielsweise eine Lieferverzögerung gemeldet, und es wurde empfohlen, sich mit dem im Anhang enthaltenen Zeitplan vertraut zu machen:

Bild
Beim Öffnen des Anhangs aus dem Archiv wurde ein Schadprogramm auf dem Computer installiert

Betrugsseiten


Cyberkriminelle registrierten die mit der Pandemie verbundenen Domains nicht nur massiv, sondern nutzten sie auch aktiv für betrügerische Aktivitäten.
Auf der vollständig anekdotischen Website antivirus-covid19.site wurde beispielsweise vorgeschlagen, die Corona Antivirus-Anwendung zum Schutz vor Infektionen auf Ihren Computer herunterzuladen und zu installieren.
Die Autoren gaben den Wirkungsmechanismus des „Antivirus“ nicht bekannt, und diejenigen, die das Programm aus irgendeinem Grund dennoch heruntergeladen und installiert hatten, warteten auf eine unangenehme Überraschung in Form der installierten BlactNET RAT-Hintertür.

Bild
Besitzer anderer Websites boten ihren Besuchern an, einen kostenlosen Coronavirus-Impfstoff zu bestellen, und zahlten nur 4 95 Dollar für die Lieferung

Die Website coronaviruscovid19-information [.] Com / en lud Besucher ein, eine mobile Anwendung zum Erstellen eines Arzneimittels für Coronavirus herunterzuladen. Die Anwendung war ein Banking-Trojaner, der Informationen über Bankkarten und Anmeldeinformationen von Online-Banking-Systemen stiehlt.
Und die Website uk-covid-19-relief [.] Com ahmte die Gestaltung von Regierungsseiten in Großbritannien nach und sammelte unter dem Deckmantel der Hilfe für Opfer der Coronavirus-Pandemie personenbezogene Daten und Informationen über Bankkarten.

Zugehörige Bedrohungen


Die Autoren vieler Kampagnen schreiben kein Wort über das Coronavirus, aber sie nutzen erfolgreich die Situation, die im Zusammenhang mit der Pandemie aufgetreten ist. Zu dieser Kategorie gehört beispielsweise das Versenden von SMS mit der Aufforderung, eine Geldstrafe wegen Verstoßes gegen das Selbstisolationsregime zu zahlen:

Bild
Die Autoren der Nachricht erwarten, dass einer der Empfänger das Regime wirklich verletzt hat und die Anforderungen ohne weiteres erfüllen wird. Eine

allgemein eingeführte Quarantäne hat dazu geführt, dass viele Menschen arbeiten aus der Ferne, wodurch die Popularität von Videokonferenzanwendungen explosionsartig zunahm, was von Cyberbetrügern nicht gebremst wurde. Beispielsweise wurden seit Beginn der COVID-19-Pandemie mehr als 1.700 böswillige Zoom-Domänen registriert.

Bild
Einige dieser Websites boten an, einen Client für einen beliebten Dienst zu installieren. Stattdessen erhielten die Opfer InstallCore-Malware, mit der Angreifer zusätzliche Sätze bösartiger Dienstprogramme auf ihre Computer herunterluden.

Viele Dienste boten allen für eine Pandemie Premium-Abonnements an und wurden durch diese Großzügigkeit nicht gebremst Nutzen Sie Betrüger.
Die Kampagne begann mit dem Senden einer Nachricht an Facebook Messenger, die im Zusammenhang mit der Quarantäne innerhalb von 2 Monaten den kostenlosen Zugang zu Netflix Premium bietet. Wenn der Benutzer im Facebook-Konto angemeldet war und dem Link folgte, erhielt er eine Zugriffsanforderung von der Netflix-Anwendung. Andernfalls wurde der Benutzer nach Anmeldeinformationen gefragt, um in das soziale Netzwerk einzutreten, und nach einer erfolgreichen Anmeldung wurde er mit der Berechtigungsanforderung auf die Seite umgeleitet. Als der Benutzer sich bereit erklärte, fortzufahren, wurde eine betrügerische Seite mit einem „Netflix-Angebot“ und einer Umfrage geöffnet, die ausgefüllt werden muss, um ein Geschenk zu erhalten:

Bild

Die Umfrage enthält zufällige Fragen und akzeptiert jede Antwort, die der Benutzer eingibt. Am Ende der Umfrage wird dem Benutzer angeboten, die Website mit zwanzig Freunden oder fünf Gruppen zu teilen, um ein „Premium-Abonnement“ zu erhalten.

Unabhängig davon, auf welche Schaltfläche der Benutzer am Ende der Umfrage klickt, wird er auf eine Seite weitergeleitet, auf der der Zugriff auf Facebook angefordert wird. In diesem Schritt wird erneut vorgeschlagen, einen schädlichen Link mit Ihren Kontakten zu teilen.
Um diesen Vorgang zu vereinfachen, erstellen Betrüger sogar einen Beitrag, sodass das Opfer, das seine Anmeldeinformationen kompromittiert hat, nur einen Knopf zum Veröffentlichen drücken kann.

Sei wachsam, um dich zu verteidigen


Kriminelle setzen das Thema Pandemie aktiv in betrügerischen Kampagnen ein. Um dem entgegenzuwirken, müssen folgende Empfehlungen beachtet werden:

  1. Folgen Sie keinen Links von unbekannten Absendern und teilen Sie sie nicht mit Ihren Freunden.
  2. die Rechtmäßigkeit der Informationsquelle prüfen,
  3. Überprüfen Sie die URL der Site, auf der Sie nach Informationen gefragt werden.
  4. Geben Sie keine persönlichen Daten und Kontoinformationen sowie Zahlungsinformationen auf nicht überprüften Websites ein.

Pandemie Trend Mikro Position


Wir wissen, dass sich die Situation schnell entwickelt und jeden Tag neue Daten eintreffen. Daher aktualisieren wir unsere Informationen ständig, um stets die erstklassigsten Dienstleistungen zu erbringen, die Kunden, Partner und Lieferanten von uns erwarten.

Damit die Krise aufgrund des COVID-19-Virus die Benutzerfreundlichkeit von Trend Micro-Produkten nicht beeinträchtigt, kümmern wir uns um die Sicherheit unserer Mitarbeiter:

  • Befolgen Sie die Anweisungen der örtlichen Behörden in allen Ländern.
  • fernarbeiten;
  • begrenzte Bewegung;
  • Wir sind wachsam und verwenden Schutzausrüstung.

Wir blicken optimistisch in die Zukunft und glauben, dass die derzeitige schwierige Situation dazu beitragen wird, neue Wege der Zusammenarbeit und andere Innovationen einzuführen, die letztendlich unser Leben sicherer machen.

More articles:


All Articles