Get best of the week

Cyberattaques utilisant COVID-19



La pandémie de coronavirus COVID-19 est utilisée comme leurre dans des campagnes malveillantes utilisant des techniques d'ingénierie sociale, y compris le spam, les logiciels malveillants, le chiffrement et les domaines malveillants. Alors que le nombre d'infections augmente de milliers, les campagnes malveillantes correspondantes prennent également de l'ampleur. Les spécialistes trouvent constamment de nouveaux exemples de telles campagnes malveillantes associées au coronavirus.

UFO Care Minute


COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .



, .

, , .

: |

Spam de coronavirus Les

experts de PandaLabs ont découvert que l'envoi et la réception de spams liés au coronavirus étaient presque partout dans le monde, y compris dans des pays comme les États-Unis, le Japon, la Russie et la Chine. Bon nombre de ces lettres, qui semblent avoir été envoyées par des organisations officielles, indiquent qu'elles contiennent des informations et des recommandations mises à jour concernant la pandémie. Comme la plupart des campagnes de spam, elles contiennent également des pièces jointes malveillantes.

Un exemple est le spam avec la ligne d'objet des dernières mises à jour du virus Corona, prétendument envoyées par le ministère de la Santé. Il contient des recommandations sur la façon de prévenir l'infection, et la lettre contient une pièce jointe qui contient soi-disant des informations mises à jour sur le coronavirus COVID-19. En fait, il contient des logiciels malveillants.



D'autres messages de spam sur le coronavirus sont liés à des approvisionnements alimentaires qui ont été perturbés par la propagation de l'infection.



L'exemple de spam italien suivant contient des informations importantes sur le coronavirus:



Cette lettre portugaise promet de nouvelles informations sur le
vaccin présumé contre COVID-19.



Il y a eu des cas où des médicaments anti-coronavirus ont été mentionnés dans les e-mails de spam pour essayer de faire télécharger des pièces jointes malveillantes. Parfois, une telle pièce jointe malveillante est HawkEye Reborn , une variante du cheval de Troie HawkEye qui vole des informations.



Indicateurs compromis pour les pièces jointes malveillants


SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be



Dans ce cas, les indicateurs sont compromis:



SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

Une autre campagne de spam a ciblé des utilisateurs en Italie, un pays durement touché par la pandémie. Le sujet et le corps des lettres contiennent le texte «Coronavirus: informations importantes sur les précautions». Le corps de la lettre indique que la pièce jointe dans la lettre est un document de l'Organisation mondiale de la santé (OMS), et il est donc fortement recommandé de télécharger ce document Microsoft Word joint, qui contient un cheval de Troie.



Lorsque l'utilisateur ouvre ce document, le message suivant s'affiche, l'obligeant à activer les macros:



Indicateurs de compromis



SHA-256 (IOC)
dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2

Malware et associés codeurs Coronavirus

Le service 100% classement des fichiers antivirus PandaLabs de laboratoire a été en mesure d'identifier et de bloquer ces exécutables malveillants associés à ces campagnes:



CORONA VIRUS ET AFFECTE LES CREW VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56fb82d7e333454e923

LISTE DES VIRUS DE LA CORONA
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd D'

autres chercheurs ont vu comment les cyber - criminels utilisent la carte en ligne de surveillance des maladies coronavirus, en les remplaçant feykovye sites dont il télécharge et installe les logiciels malveillants. Voici les hash des applications malveillantes:



2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

Une nouvelle version du ransomware CoronaVirus utilisé pour sa distribution un faux site pour optimiser le système. Les victimes ont téléchargé sans le savoir le fichier WSGSetup.exe à partir de ce site. Ensuite, ce fichier a fonctionné comme téléchargeur pour deux types de logiciels malveillants: le rançongiciel CoronaVirus et le voleur de mots de passe Trojan Kpot .

Cette campagne fait partie de la dernière tendance des cryptographes: elle combine le cryptage des données avec le vol d'informations.

De plus, un autre ransomware appelé CovidLoc a été remarquék, affectant désormais les utilisateurs mobiles. Ce ransomware provenait d'une application Android malveillante qui aiderait prétendument à suivre les infections COVID-19.

Le ransomware bloque le téléphone portable de sa victime, ce qui ne lui donne que 48 heures pour payer une rançon de 100 $ en bitcoins pour restaurer l'accès à son appareil. Sinon, la victime est menacée de supprimer toutes les données du téléphone et de voler les données de leurs comptes sur les réseaux sociaux.

Domaines liés au coronavirus



En outre, le nombre de noms de domaine qui utilisent le mot «corona» dans leur nom a considérablement augmenté . Ci-dessous, nous répertorions les domaines malveillants suivants:

  • acccorona [.] com
  • alphacoronavirusvaccine [.] com
  • anticoronaproducts [.] com
  • beatingcorona [.] com
  • beatingcoronavirus [.] com
  • bestcorona [.] com
  • betacoronavirusvaccine [.] com
  • buycoronavirusfacemasks [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • combatcorona [.] com
  • contra-coronavirus [.] com
  • corona-blindado [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • corona explicada [.] com
  • corona-iran [.] com
  • corona-ratgeber [.] com
  • coronadatabase [.] com
  • coronadeathpool [.] com
  • coronadetect [.] com
  • coronadetection [.] com


Fonctionnement de ces attaques

Le fait est que toutes ces attaques utilisent des vecteurs de pénétration, qui peuvent être considérés comme «traditionnels». Tous ces vecteurs peuvent être fermés par des solutions antivirus traditionnelles pour protéger les terminaux. Dans ce cas, PandaLabs utilise les mécanismes suivants pour détecter et bloquer les menaces:

• Un service de classification à 100% qui classe chaque fichier binaire et n'autorise que ceux qui sont contrôlés par un système cloud avec intelligence artificielle
• Les technologies EDR et, en particulier, le système de détection d' indicateurs Attaques (IoA) par comportement et contexte .

D'après ce que nous voyons, l'exemple le plus courant d'attaques sont les spams utilisant des technologies d'ingénierie sociale. Ces lettres contiennent un compte-gouttes qui charge le fichier binaire ici:

C: \ Users \ user \ AppData \ Local \ Temp \ qeSw.exe
Hash: 258ED03A6E4D9012F8102C635A5E3DCD Les

solutions Panda détectent le compte-gouttes comme Trj / GdSda.A
Ce fichier binaire chiffre l'ordinateur (processus: vssadmin. exe) et supprime les clichés instantanés à l'aide du processus conhost.exe.

Sources officielles d'IoC Le

Centre national de cryptographie espagnol dispose d'une liste exhaustive d'indicateurs de compromis (IoC) au niveau des hachages, des adresses IP et des domaines: www.ccn.cni.es/index.php/en .

Des informations sont disponibles ici:
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

Comment vous protéger de ces menaces et d'autres cybermenaces

Grâce au service de classification à 100%, qui classe tous les fichiers binaires avant leur lancement et bloque le lancement de tout binaire malveillant fichiers, les solutions de protection des terminaux avec des options de protection avancées sont très efficaces pour arrêter les campagnes malveillantes comme beaucoup d'autres.

Le service utilise un mécanisme très efficace pour détecter et supprimer les logiciels malveillants et les ransomwares avant leur lancement, qu'il s'agisse de nouvelles options de menace ou de nouveaux domaines malveillants, comme c'est le cas pour les objets malveillants associés à COVID-19.

Indicateurs d'attaque comportementaux et contextuels (IoA)Détectez et bloquez les comportements inhabituels sur les appareils protégés: par exemple, en téléchargeant un fichier exécutable à partir de Word ou en essayant d'accéder à des URL inconnues ou malveillantes. Toute tentative de compromettre l'appareil est immédiatement bloquée et l'exécution d'actions malveillantes et la connexion à des domaines malveillants sont interrompues.

More articles:


All Articles