Comment les fraudeurs de Runet ont réagi au coronavirus

Après avoir noté les formes de cybermenaces associées aux coronavirus, j'ai décidé d'examiner comment Internet russe a réagi à une pandémie et ce qui arrive aux cybermenaces dans notre pays, à savoir le phishing et les sites frauduleux.



Comme point de départ, j'ai commencé à utiliser notre service de surveillance et de protection DNS - Cisco Umbrella , qui traite plus de 150 milliards de requêtes DNS par jour et les analyse pour détecter les logiciels malveillants. En utilisant Cisco Umbrella Investigate Investigation Tool , la première chose que j'ai décidé de faire a été de vérifier à quel point les domaines en cours de création utilisent les mots-clés «covid» et «coronavirus» dans leurs noms. Au cours des 7 derniers jours, les éléments suivants sont apparus:

- 257 domaines avec «coronavirus», dont 170 que nous avons classés comme malveillants



- 271 domaines avec «covid», dont 121



- 349 domaines avec «masque» ont été classés comme malveillants (et leur nombre est en constante augmentation) , dont seulement 9 sont classés comme malveillants et 1 comme hameçonnage.



La classification des domaines malveillants est encore préliminaire, car de nombreux domaines sont uniquement enregistrés mais pas encore utilisés par les cybercriminels.



Prenez, par exemple, le domaine covid19-russia [.] Ru et essayez de mener une enquête éclair sur celui-ci:



le domaine a été enregistré le 17 mars, ce qui n'est généralement pas surprenant et ne devrait pas susciter de soupçons dans ce cas particulier, comme dans d'autres cas où la date de création du domaine est un indicateur très important pour détecter une activité malveillante. Pour une pandémie de coronavirus, il est difficile de s'attendre à ce que l'on en savait l'an dernier ou plus tôt. Par conséquent, les domaines dédiés au coronavirus n'ont commencé à apparaître que maintenant.



Regardons l'adresse IP à laquelle ce domaine se bloque. Comme nous pouvons le voir, c'est également un refuge pour un certain nombre de domaines, dont certains sont associés à la pandémie actuelle:



et nous avons la même adresse associée à un certain nombre de programmes malveillants qui se propagent à partir de l'adresse IP spécifiée ou des sites qui s'y accrochent, ou ils utilisent cette adresse comme un kill switch, ou l'utilisent comme un serveur de commandes, qui envoie les commandes appropriées et reçoit les réponses des victimes infectées par du code malveillant. Le premier de la liste des exemples malveillants associés à l'adresse IP spécifiée, nous voyons Emotet, déjà mentionné dans l'article précédent:



Cet exemple est utilisé dans d'autres campagnes à en juger par l'analyse de son interaction réseau:



Si vous utilisez un autre service Cisco, à savoir le sandboxCisco Threat Grid , alors nous pouvons obtenir des informations plus détaillées sur cet exemple, par exemple, une liste détaillée des indicateurs de comportement qui "ont fonctionné" dans ce cas:



Analyse des processus qui ont été lancés dans le cadre du travail d'Emotet sur l'ordinateur de la victime:



nous comprenons que dans ce Dans le cas, il s'agit d'un document MS Word qui a été reçu / téléchargé par une victime interagissant avec l'adresse IP et le domaine que nous examinons:



si nécessaire, nous pouvons relier les indicateurs identifiés avec la matrice MITRE ATT & CK, qui est utilisée par de nombreux SOC dans le cadre de ses activités:



Mais revenons à l'analyse de l'adresse IP qui nous intéresse, sur laquelle «pendent» plusieurs domaines exploitant le thème des coronavirus. Cette adresse est située dans le système autonome AS198610, qui est également associé à certaines activités malveillantes, par exemple, à partir de la carte de distribution en ligne COVID-19 coronavirusmaponline [.] Com:



qui a été créée le 23 mars 2020:



et sur le site Web de laquelle le 1er avril un code malveillant est apparu. Peut-être que cela s'est produit exprès, ou peut-être que le site a été piraté et que des logiciels malveillants y ont été placés; cela nécessite une enquête séparée.



Je n'ai pas analysé toutes les centaines de sites qui ont été créés la semaine dernière (et en un mois leur nombre a déjà dépassé le millier), mais l'image est similaire sur eux. La plupart des sites dont les noms contiennent les mots «covid» ou «coronavirus» sont malveillants et sous le couvert de nouvelles sur une pandémie, sur le nombre réel de cas, sur les moyens de lutter contre COVID-19, ils propagent du code malveillant et infectent les utilisateurs avec des logiciels malveillants «familiers» programmes.

Sans surprise, derrière les grands noms, il n'y a généralement rien. Il s'agit souvent d'un site WordPress créé rapidement, par exemple, comme coronavirus19-pandemia [.] Ru:



Dans le même temps, une tentative de conduire de tels sites via Cisco Threat Grid révèle diverses anomalies qui peuvent être inhérentes au code malveillant (bien que cela puisse être les mains tordues de programmeurs qui ont "rapidement" créé le site à partir de ce qu'il était). Je n'ai pas commencé à effectuer une analyse plus approfondie de chaque site par manque de temps. Mais rappelant le dernier post où j'ai mentionné le plugin malveillant pour WordPress, ainsi que la pratique courante de pirater des sites WordPress et de diffuser du code malveillant à travers eux, je peux supposer qu'avec le temps, ce site montrera son vrai visage.



Une autre observation intéressante que j'ai faite est liée à une certaine communauté de domaines créés. Par exemple, le moment où nous les avons remarqués pour la première fois. Pour une raison quelconque, beaucoup d'entre eux sont tombés sous nos yeux en même temps.



Mais souvent, ils sont situés dans le même système autonome. Par exemple, trois domaines sont les suivants: coronavirus19-pandémie [.] Ru, maskacoronavirus [.] Ru et mask-3m [.] Ru. Pour une raison quelconque, tous les trois sont situés dans AS 197695 et beaucoup d'entre eux sont marqués par Cisco Umbrella comme malveillants, avec une note négative maximale de 100. Le domaine mask-3m [.] Ru lui-même a une note non dangereuse (au moment de la rédaction, 28), mais il est hébergé sur l'adresse IP 31 [.] 31 [.] 196 [.] 138, qui est sur notre liste noire et qui est associée à diverses activités malveillantes:



Au fait, ce système autonome AS 197695 est devenu un refuge pour de nombreuses ressources malveillantes. Par exemple, il héberge le site de phishing telegramm1 [.] Ru:



ainsi que awitoo [.] ru, qui ressemble non seulement à un site de phishing, mais qui propage également du code malveillant. Voici comment le système Cisco Threat Response affiche les liens entre ce domaine et divers artefacts :



Il existe des domaines de phishing associés au projet Voice 1, au réseau social Facebook, à la boutique en ligne Amazon, au service iCloud et à d'autres projets Apple. avec les magasins d'optique "Ochkarik", et bien d'autres.

Le sujet des sites qui collectent de l'argent pour lutter contre les coronavirus n'est pas ignoré. Par exemple, voici un fonds coronavirus qui recueille de tels dons (il vous suffit de transférer de l'argent sur une carte):



Une image similaire est avec le site Web covid-money [.] Ru, qui enseigne comment gagner de l'argent sur COVID-19. Pour ce faire, laissez l'application appropriée et un responsable vous contactera, qui vous dira les secrets de gagner. Il est vrai que ces deux sites, ukrainien et russe, «s'accrochent» à la même IP avec laquelle nous avons trouvé le code malveillant associé:



pour une étrange coïncidence, un domaine y était également attaché, soi-disant Cisco: soit dit



en passant, un tel « lieux de reproduction du cybercoronavirus, quand à la même adresse ou dans un seul réseau autonome, il y a plusieurs ressources malveillantes, beaucoup. Par exemple, sur IP 88 [.] 212 [.] 232 [.] 188 plusieurs dizaines de domaines «pendent» à la fois, qui, à en juger par leurs noms, visent des villes spécifiques de la Russie - Ekaterinbourg, Saratov, Irkoutsk, Kazan, Belgorod, Khabarovsk et etc.



Maintenant, je voudrais revenir au domaine à partir duquel j'ai commencé cet article. Ce domaine "se bloque" sur l'adresse IP 87 [.] 236 [.] 16 [.] 164, à laquelle, en plus de dizaines d'autres domaines, un domaine avec une adresse intéressante est associé: antivirus.ru [.] Com. Lorsque Cisco Threat Response l'a identifié comme suspect au cours de l'enquête, j'ai d'abord pensé que le site de ce domaine distribuait des antivirus par analogie avec l'histoire dont j'ai parlé la dernière fois (antivirus logiciel combattant le vrai COVID-19).



Mais non. Il s'est avéré qu'il s'agit du site de la boutique en ligne, créée le 6 mars. J'ai eu l'impression que ceux qui l'ont créé ont pris le moteur prêt à l'emploi pour le magasin de vêtements pour femmes et ont simplement ajouté des produits «chauds» liés au coronavirus - masques médicaux, antiseptiques, gels pour les mains et gants.



Mais soit les développeurs n'y ont pas mis la main, soit ils ne voulaient pas le faire, mais maintenant il est impossible d'acheter quoi que ce soit sur le site - les liens d'achat ne mènent nulle part. Outre la publicité d'un agent antimicrobien très spécifique et l'activité suspecte sur le site lui-même en cours d'exécution, le site n'a rien de plus utile. Et il n'a rien à visiter, et ce nombre est mesuré en unités. Mais comme le montre l'exemple suivant, si vous commencez à détordre ce domaine, cela peut conduire à l'infrastructure ramifiée utilisée par les cybercriminels.



Avec les domaines au nom desquels le mot «masque» est mentionné, la situation continue d'évoluer rapidement. Certains domaines sont créés spécifiquement pour la vente ultérieure. Certains domaines ont seulement été créés, mais ne sont pas encore impliqués. Certains domaines sont évidemment du phishing ou diffusent directement du code malveillant. Certaines ressources parasitent simplement le sujet d'une pandémie et à des prix exorbitants sont vendus par des respirateurs et des masques médicaux, qui coûtaient jusqu'à 3 à 5 roubles chacun. Et très souvent, tous ces domaines sont interconnectés, comme indiqué ci-dessus. Quelqu'un crée et gère ce type d'infrastructure de domaines malveillants, exploitant le thème du coronavirus.

Il convient de noter qu'une situation similaire est notée non seulement dans Runet. Prenez le domaine mygoodmask [.] Com, qui a été créé le 27 février et, à en juger par la distribution des demandes, a été populaire auprès du public aux États-Unis, à Singapour et en Chine. Il a également vendu des masques médicaux. Ce site à lui seul n'a suscité aucun soupçon et en entrant son adresse dans la réponse aux menaces Cisco, nous ne verrons rien d'intéressant:



mais sans nous arrêter là, nous allons plus loin et comprenons que lorsque nous essayons d'accéder à mygoodmask [.] Com (note que les indicateurs comportementaux dans ce cas sont similaires au précédent):



nous sommes redirigés vers greatmasks [.] com, qui se résout en deux adresses IP - 37 [.] 72 [.] 184 [.] 5 et 196 [.] 196 [.] 3 [.] 246, dont la dernière est malveillante et a hébergé de nombreux sites malveillants au cours des dernières années. La première adresse IP se résout à plusieurs domaines liés à la vente de masques médicaux - safetysmask [.] Com, flumaskstore [.] Com, maskhealthy [.] Com, etc. (au total plus d'une douzaine).



Nous pouvons afficher les mêmes informations, mais présentées différemment, en utilisant Cisco Threat Response, une solution d'enquête d'incident gratuite, à laquelle j'ai déjà consacré plusieurs articles sur Habré:



Une analyse éclair des données de la semaine dernière à l'aide de Cisco Umbrella Investigate montre que nous avons toujours un «leader» clair qui accumule près de 80% de toutes les ressources malveillantes associées à la pandémie de coronavirus, le système autonome AS 197695:



Il, en plus de de tous les exemples décrits ci-dessus, en fait, il sert non seulement le sujet COVID-19, mais aussi de nombreux autres, ce qui suggère que les attaquants n'ont aucune préférence pour la pandémie actuelle. C'est juste qu'ils ont profité d'une occasion informative et ont propagé du code malveillant sur sa vague, attiré les utilisateurs vers des sites de phishing et nui aux utilisateurs Runet ordinaires.



Lorsque le battage médiatique autour de la pandémie disparaîtra, la même infrastructure sera utilisée pour promouvoir d'autres sujets. Par exemple, l'infrastructure susmentionnée, dont l'enquête a commencé avec le site mygoodmask [.] Com, n'a en fait commencé que récemment à «promouvoir» le thème des masques médicaux - avant cela, elle avait été engagée dans la distribution d'e-mails de phishing concernant des événements sportifs, des accessoires de mode, y compris des lunettes de soleil et sacs, etc. Et en cela, nos cybercriminels ne sont pas très différents de leurs collègues étrangers.



Eh bien, la conclusion de cette enquête éclair, que j'ai menée dans la nuit du 1er avril, sera simple - les fraudeurs en utilisent, même comme le virus COVID-19 avec un taux de mortalité élevé, les raisons de leur activité. Par conséquent, vous ne devez en aucun cas vous détendre et penser que le site que nous visitons avec la carte de distribution pandémique en ligne, ou le bulletin d'information proposant d'acheter un respirateur, ou même le lien de réseau social menant au site pour les téléconférences, sont initialement sûrs. Vigilance! C'est ce qui nous aide à augmenter notre sécurité lors de la navigation sur Internet. Et les solutions Cisco décrites dans cet article ( Cisco Umbrella Investigate , Cisco Threat Grid , Cisco Threat Response) aider les spécialistes à mener des enquêtes et à identifier en temps opportun les cybermenaces décrites.

PS Quant à l'autre jour, un sujet qui a surgi à propos de la création massive de faux sites liés au système de gestion d'événements en ligne Zoom, je n'ai pas encore trouvé de telles ressources sur RuNet, ce qui ne peut pas être dit sur le reste d'Internet, où beaucoup de ces domaines ont été créés.