Cómo reaccionaron los estafadores de Runet al coronavirus

Después de una nota sobre las formas que toman las amenazas cibernéticas asociadas con el coronavirus, decidí analizar cómo la Internet rusa respondió a una pandemia y qué sucede con las amenazas cibernéticas en nuestro país, a saber, sitios de phishing y fraudulentos.



Como punto de partida, comencé a utilizar nuestro servicio de monitoreo y protección de DNS: Cisco Umbrella , que procesa más de 150 mil millones de consultas DNS por día y las analiza en busca de malware. Utilizando la herramienta de investigación de Cisco Umbrella Investigate , lo primero que decidí hacer fue comprobar qué tan activamente se crean los dominios que usan las palabras clave "covid" y "coronavirus" en sus nombres. En los últimos 7 días, apareció lo siguiente:

- 257 dominios con "coronavirus", de los cuales 170 clasificamos como maliciosos



- 271 dominios con "covid", de los cuales 121



- 349 dominios con "máscara" se clasificaron como maliciosos (y su número está en constante crecimiento) , de los cuales solo 9 están clasificados como maliciosos y 1 como phishing.



La clasificación de dominios maliciosos aún es preliminar, ya que muchos dominios solo están registrados pero aún no son utilizados por ciberdelincuentes.



Tomemos, por ejemplo, el dominio covid19-russia [.] Ru e intente llevar a cabo una investigación relámpago sobre él:



el dominio se registró el 17 de marzo, lo que generalmente no es sorprendente y no debería causar sospechas en este caso en particular, como en otros casos en los que la fecha de creación del dominio es Un indicador muy importante para detectar actividad maliciosa. Para una pandemia de coronavirus, es difícil esperar lo que se supo el año pasado o antes. Por lo tanto, los dominios dedicados al coronavirus comenzaron a aparecer solo ahora.



Veamos la dirección IP en la que se cuelga este dominio. Como podemos ver, también es un refugio para varios dominios, algunos de los cuales están asociados con la pandemia actual:



y tenemos la misma dirección asociada con una serie de programas maliciosos que se propagan desde la dirección IP especificada o los sitios que están colgados en ella, o usan esta dirección como un interruptor de interrupción, o la usan como un servidor de comandos, que envía los comandos apropiados y recibe respuestas de las víctimas infectadas con código malicioso. El primero en la lista de muestras maliciosas asociadas con la IP especificada, vemos a Emotet, ya mencionado en el artículo anterior:



esta muestra se usa en otras campañas a juzgar por el análisis de su interacción de red:



si usa otro servicio de Cisco, es decir, el sandboxCisco Threat Grid , entonces podemos obtener información más detallada sobre esta muestra, por ejemplo, una lista detallada de indicadores de comportamiento que "funcionaron" en este caso:



Análisis de los procesos que se iniciaron como parte del trabajo de Emotet en la computadora de la víctima:



entendemos que en este En el caso, se trataba de un documento de MS Word que fue recibido / descargado por una víctima que interactúa con la dirección IP y el dominio que estamos examinando:



si es necesario, podemos vincular los indicadores identificados con la matriz MITER ATT & CK, que es utilizada por muchos SOC como parte de sus actividades:



Pero volviendo al análisis de la dirección IP que nos interesa, en la que varios dominios que explotan el tema del coronavirus "cuelgan". Esta dirección se encuentra en el sistema autónomo AS198610, que también está asociado con ciertas actividades maliciosas, por ejemplo, del mapa de distribución en línea COVID-19 coronavirusmaponline [.] Com:



que se creó el 23 de marzo de 2020:



y en cuyo sitio web el 1 de abril ha aparecido un código malicioso Tal vez esto sucedió a propósito, o tal vez el sitio fue pirateado y se le colocó malware; Esto requiere una investigación por separado.



No analicé todos los cientos de sitios que se crearon en la última semana (y en un mes su número ya superó los mil), pero la imagen es similar en ellos. La mayoría de los sitios cuyos nombres contienen las palabras "covid" o "coronavirus" son maliciosos y, bajo la apariencia de noticias sobre una pandemia, sobre el número real de casos, sobre formas de combatir COVID-19, propagan códigos maliciosos e infectan a los usuarios con malware bastante "familiar" programas

Como era de esperar, detrás de los grandes nombres generalmente no hay nada. A menudo, este es un sitio de WordPress creado rápidamente, por ejemplo, como coronavirus19-pandemia [.] Ru:



Al mismo tiempo, un intento de ejecutar dichos sitios a través de Cisco Threat Grid revela varias anomalías que pueden ser inherentes al código malicioso (aunque estas pueden ser las manos torcidas de los programadores que "rápidamente" crearon el sitio a partir de lo que era). No comencé a realizar un análisis más profundo de cada sitio debido a la falta de tiempo. Pero recordando la última publicación donde mencioné el complemento malicioso para WordPress, así como la práctica común de piratear sitios de WordPress y difundir código malicioso a través de ellos, puedo suponer que con el tiempo este sitio mostrará su verdadera cara.



Otra observación interesante que hice está relacionada con cierta comunidad de dominios creados. Por ejemplo, el momento en que los notamos por primera vez. Por alguna razón, muchos de ellos cayeron en nuestra vista al mismo tiempo.



Pero a menudo se encuentran en el mismo sistema autónomo. Por ejemplo, tres dominios son el coronavirus19-pandemia [.] Ru mencionado anteriormente, el virus de maskacorona [.] Ru y la máscara-3m [.] Ru. Por alguna razón, los tres se encuentran en AS 197695 y muchos de ellos están marcados por Cisco Umbrella como maliciosos, con una calificación negativa máxima de 100. El dominio mask-3m [.] Ru tiene una calificación no peligrosa (en el momento de la redacción, 28), pero está alojado en la dirección IP 31 [.] 31 [.] 196 [.] 138, que está en nuestra lista negra y que está asociada con varias actividades maliciosas:



Por cierto, este sistema autónomo AS 197695 se ha convertido en un refugio para muchos recursos maliciosos. Por ejemplo, aloja el sitio de phishing telegramm1 [.] Ru:



así como awitoo [.] ru, que no solo parece un sitio de phishing, sino que también difunde código malicioso. Así es como el sistema Cisco Threat Response muestra los enlaces entre este dominio y varios artefactos :



existen dominios de phishing asociados con el proyecto Voice 1, la red social de Facebook, la tienda en línea de Amazon, el servicio iCloud y otros proyectos de Apple. con tiendas ópticas "Ochkarik", y muchos otros.

No se ignora el tema de los sitios que recaudan dinero para luchar contra el coronavirus. Por ejemplo, aquí hay un fondo de coronavirus que recolecta tales donaciones (solo necesita transferir dinero a una tarjeta):



Una imagen similar es con el sitio web covid-money [.] Ru, que enseña cómo ganar dinero con COVID-19. Para hacer esto, deje la aplicación correspondiente y un gerente se comunicará con usted, quien le contará los secretos de sus ganancias. Es cierto que estos dos sitios, ucraniano y ruso, "cuelgan" en la misma IP con la que encontramos el código malicioso asociado:



por una extraña coincidencia, también se le asignó un dominio, supuestamente Cisco:



por cierto, tal " caldo de cultivo para el cibercoronavirus, cuando se encuentran en la misma dirección o en una única red autónoma, existen varios recursos maliciosos, muchos. Por ejemplo, en IP 88 [.] 212 [.] 232 [.] 188 varias decenas de dominios se "cuelgan" a la vez, que, a juzgar por sus nombres, están dirigidos a ciudades específicas de Rusia: Ekaterimburgo, Saratov, Irkutsk, Kazan, Belgorod, Khabarovsk y etc.



Ahora me gustaría volver al dominio desde el que comencé este artículo. Este dominio "se cuelga" en la dirección IP 87 [.] 236 [.] 16 [.] 164, con la cual, además de docenas de otros dominios, se asocia un dominio con una dirección interesante: antivirus.ru [.] Com. Cuando Cisco Threat Response lo identificó como sospechoso durante la investigación, primero pensé que el sitio en este dominio estaba distribuyendo antivirus por analogía con la historia de la que hablé la última vez (antivirus de software que lucha contra COVID-19 real).



Pero no. Resultó que este es el sitio de la tienda en línea, creada el 6 de marzo. Me dio la impresión de que quienes lo crearon tomaron como base el motor confeccionado para la tienda de ropa femenina y simplemente agregaron productos "calientes" relacionados con el coronavirus: máscaras médicas, antisépticos, geles y guantes.



Pero los desarrolladores no lo tuvieron en sus manos o no quisieron hacerlo, pero ahora es imposible comprar nada en el sitio: los enlaces de compra no llevan a ninguna parte. Además de anunciar un agente antimicrobiano muy específico y actividad sospechosa en el sitio mismo en el proceso de ejecución, el sitio no tiene nada más útil. Y no tiene nada que visitar, y este número se mide en unidades. Pero como se mostrará en el siguiente ejemplo, si comienza a promocionar este dominio, puede conducir a la infraestructura ramificada utilizada por los ciberdelincuentes.



Con dominios en cuyo nombre se menciona la palabra "máscara", la situación continúa desarrollándose rápidamente. Algunos dominios se crean específicamente para su venta posterior. Algunos dominios solo se han creado, pero aún no están involucrados. Algunos dominios son obviamente phishing o propagan directamente código malicioso. Algunos recursos simplemente parasitan el tema de una pandemia y, a un precio exorbitante, venden respiradores y máscaras médicas, que hasta hace poco costaban 3-5 rublos cada uno. Y muy a menudo todos estos dominios están interconectados, como se muestra arriba. Alguien crea y administra este tipo de infraestructura de dominios maliciosos, explotando el tema del coronavirus.

Cabe señalar que se observa una situación similar no solo en Runet. Tome el dominio mygoodmask [.] Com, que se creó el 27 de febrero y, a juzgar por la distribución de las solicitudes, fue popular entre el público de los Estados Unidos, Singapur y China. También vendió máscaras médicas. Este sitio por sí solo no generó ninguna sospecha y al ingresar su dirección en la Respuesta a amenazas de Cisco no veremos nada interesante:



pero sin detenernos en esto, vamos más allá y entendemos que cuando intentamos acceder a mygoodmask [.] Com (nota que los indicadores de comportamiento en este caso son similares al anterior):



somos redirigidos a greatmasks [.] com, que se resuelve en dos direcciones IP: 37 [.] 72 [.] 184 [.] 5 y 196 [.] 196 [.] 3 [.] 246, la última de las cuales es maliciosa y ha alojado muchos sitios maliciosos en los últimos años. La primera dirección IP resuelve varios dominios relacionados con la venta de máscaras médicas: safetysmask [.] Com, flumaskstore [.] Com, maskhealthy [.] Com, etc. (total más de una docena).



Podemos mostrar la misma información, pero presentada de manera diferente, utilizando Cisco Threat Response, una solución gratuita para investigar incidentes, a la que ya he dedicado varios artículos sobre Habré:



Un análisis blitz de datos durante la semana pasada usando Cisco Umbrella Investigate muestra que todavía tenemos un claro "líder" que acumula casi el 80% de todos los recursos maliciosos asociados con la pandemia de coronavirus, el sistema autónomo AS 197695:



además de De todos los ejemplos descritos anteriormente, de hecho, no solo sirve el tema COVID-19, sino también muchos otros, lo que sugiere que los atacantes no tienen ninguna preferencia por la pandemia actual. Es solo que aprovecharon una ocasión informativa y difundieron código malicioso en su ola, atrajeron a los usuarios a sitios de phishing y, de lo contrario, perjudicaron a los usuarios comunes de Runet.



Cuando la exageración en torno a la pandemia disminuya, se utilizará la misma infraestructura para promover otros temas. Por ejemplo, la infraestructura antes mencionada, cuya investigación comenzó con el sitio mygoodmask [.] Com, en realidad solo recientemente comenzó a "promover" el tema de las máscaras médicas; antes de eso, se había dedicado a la distribución de correos de phishing sobre eventos deportivos, accesorios de moda, incluidas gafas de sol y bolsas, etc. Y en esto, nuestros cibercriminales no son muy diferentes de sus colegas extranjeros.



Bueno, la conclusión de esta investigación de bombardeo, que realicé la noche del 1 de abril, será simple: los estafadores usan cualquiera, incluso el virus COVID-19 con una alta tasa de mortalidad, razones para su actividad. Por lo tanto, en ningún caso debe relajarse y pensar que el sitio que visitamos con la tarjeta de distribución de pandemia en línea, o el boletín que ofrece comprar un respirador, o incluso el enlace de la red social que conduce al sitio para teleconferencias, son inicialmente seguros. ¡Vigilancia! Esto es lo que nos ayuda a aumentar nuestra seguridad al navegar por Internet. Y las soluciones de Cisco descritas en este artículo ( Cisco Umbrella Investigate , Cisco Threat Grid , Cisco Threat Response) ayudan a los especialistas a realizar investigaciones e identificar oportunamente las amenazas cibernéticas descritas.

PD: En cuanto al otro día, un tema que surgió sobre la creación masiva de sitios falsos relacionados con el sistema de alojamiento en línea de Zoom, todavía no he encontrado dichos recursos en RuNet, lo que no se puede decir sobre el resto de Internet, donde se han creado muchos de estos dominios.