Get best of the week

Comment les cybercriminels utilisent la pandémie de coronavirus à leurs propres fins

Les événements très médiatisés ont toujours été une excellente occasion pour des campagnes frauduleuses et, en ce sens, la pandémie de coronavirus n'a rien de spécial. Cependant, malgré les similitudes, il existe encore des différences: la peur universelle de l'infection a fait du nom de la maladie un puissant facteur d'augmentation de l'efficacité des attaques. Nous avons collecté des statistiques sur les incidents liés à COVID-19, et dans ce post, nous partagerons les épisodes les plus intéressants.

image

Selon notre suivi, au cours du premier trimestre 2020, les spams ont été la principale source de cyberattaques liées aux coronavirus. Le nombre de ces e-mails de février à mars a été multiplié par 220: Le

image
nombre de spams liés à COVID-19

Un autre domaine malveillant dans les campagnes COVID était les sites de logiciels malveillants. Au cours du premier trimestre, nous avons enregistré environ 50 000 URL malveillantes contenant le nom d'une infection dangereuse. De février à mars, le nombre de ces sites a augmenté de 260%: le

image
nombre d'URL malveillantes associées aux

développeurs de logiciels malveillants COVID-19 n'a pas moins d'activité. Pour le premier trimestre, nous avons identifié plus de 700 variétés de malvari orientés COVID:

image
Nombre de malwares liés à COVID-19

Le plus grand nombre d'attaques est tombé sur les États-Unis, mais d'autres pays infectés ont également été attaqués.

Examinons chacune de ces catégories plus en détail. Commençons par les malwares, car ici nous sommes confrontés à un phénomène assez curieux: certains des opérateurs de ransomwares ont montré une citoyenneté active et annoncé que les institutions médicales n'attaqueraient pas la pandémie.

Malware


L'occasion de profiter d'un sujet brûlant a ramené de nombreux vétérans à la vie. Par exemple, une version de marque COVID du cheval de Troie bancaire Zeus Sphinx est apparue, pour la distribution de laquelle a été utilisé la distribution d'un document Microsoft Word protégé par mot de passe avec le nom «COVID 19 relief».

image
Si l'utilisateur a ouvert la pièce jointe, entré le mot de passe et inclus les macros, Zeus Sphinx a été installé sur son ordinateur. Source (ci-après, sauf indication contraire): Trend Micro

Les opérateurs de logiciels malveillants AZORult ont agi de manière plus originale: ils ont créé une copie de travail du site Web de l'Université Johns Hopkins avec une carte de distribution des coronavirus sur le domaine Corona-Virus-Map.com (désormais désactivé). Pour recevoir des informations plus opérationnelles, les visiteurs ont été invités à télécharger l'application sur l'ordinateur.

image
D'accord avec l'offre d'un faux site de propagation de virus sur l'installation de logiciels supplémentaires, reçue sur leur appareil Les

opérateurs AZORult Ransomware ont été divisés en deux groupes: certains d'entre eux ont annoncé qu'ils n'attaqueraient pas les hôpitaux, les hôpitaux et les installations médicales pendant la pandémie, tandis que le reste a continué son activité malveillante sans aucune restriction.
CLOP Ransomware, DoppelPaymer Ransomware, Maze Ransomware et Nefilim Ransomware se sont inscrits au club Noble Pirates, tandis que Netwalker a déclaré qu'ils ne choisissaient pas spécifiquement les hôpitaux, mais si l'un d'entre eux trouve ses fichiers cryptés, alors payez une rançon.
Les opérateurs de Ryuk et d'autres ransomwares n'ont fait aucune déclaration, mais ont simplement poursuivi l'attaque.

image
Les utilisateurs confirment le travail continu de

Ryuk malgré la pandémie Le ransomware CovidLock Mobile est distribué sur son propre site Web sous forme de fichier apk pour éviter le blocage dans les magasins d'applications officiels.

image
Pour créer l'illusion de fiabilité et de qualité, les auteurs de CovidLock ont ​​utilisé des images de notation du Play Market, ainsi que des logos de l'OMS et du Center for Disease Control and Prevention.

Les auteurs de logiciels malveillants affirment que l'application permet un suivi en temps réel des épidémies de coronavirus «dans votre rue, dans la ville et dans l'État »Dans plus de 100 pays.

Et les auteurs du malware Oski infosyler ont utilisé la manière originale de distribuer leur application:
• ont recherché sur Internet des routeurs domestiques vulnérables D-Link et Linksys,
• en utilisant des vulnérabilités, ils ont eu accès à la gestion et ont modifié les paramètres du serveur DNS en leur propre nom:

image
lorsque les utilisateurs connectés à des routeurs ont entré une adresse dans le navigateur, ils ont été redirigés vers le site frauduleux, qui, au nom de l'OMS, a suggéré de télécharger et d'installer l'application COVID-19 Inform. Les utilisateurs qui ont installé «l'informateur» ont plutôt reçu l'infostiller Oski

Listes de diffusion


Les auteurs de nombreux mailings effraient et même font chanter les destinataires de leurs lettres pour les forcer à ouvrir la pièce jointe et à suivre d'autres instructions.
Les citoyens canadiens ont reçu un bulletin au nom de Mary, une employée du centre médical. Dans la lettre, "Maria" a déclaré que, selon les informations reçues, le destinataire de la lettre était en contact avec un patient atteint de coronavirus, il devait donc remplir le questionnaire ci-joint dès que possible et contacter l'hôpital le plus proche pour le test:

image
lorsque la victime effrayée a ouvert la pièce jointe, elle a été invitée à autoriser l'exécution de macros, après Ce qui a été installé sur l'infostiller informatique, qui a collecté et envoyé aux attaquants les informations d'identification stockées, des informations sur les cartes bancaires et les portefeuilles cryptographiques

L'Italie, l'un des principaux pays en termes de nombre de coronavirus infectés, a été touchée par des attaquants. Nous avons enregistré plus de 6 000 envois liés au sujet de la pandémie.
Par exemple, dans une de ces campagnes, des lettres ont été envoyées en italien, dans lesquelles l'expéditeur, au nom de l'Organisation mondiale de la santé, a suggéré que le destinataire se familiarise immédiatement avec les précautions contre les coronavirus dans le document ci-joint:

image
lors de l'ouverture du document, une autorisation a été demandée pour exécuter des macros, et si la victime l'a donnée, un cheval de Troie a été installé sur l'ordinateur

De nombreux envois ont été associés à la livraison ou au report en raison de la propagation de la maladie. Par exemple, dans l'une de ces lettres, prétendument envoyées du Japon, un retard de livraison a été signalé et il a été suggéré de vous familiariser avec le calendrier joint dans la pièce jointe:

image
lors de l'ouverture de la pièce jointe à partir des archives, un programme malveillant a été installé sur l'ordinateur

Sites de fraude


Les cybercriminels ont non seulement enregistré massivement des domaines associés à la pandémie, mais les ont également utilisés activement pour des activités frauduleuses.
Par exemple, le site antivirus-covid19.site complètement anecdotique a suggéré de télécharger et d'installer l'application Corona Antivirus sur votre ordinateur pour vous protéger contre les infections.
Les auteurs n'ont pas révélé le mécanisme d'action de l '«antivirus» et ceux qui, pour une raison quelconque, ont néanmoins téléchargé et installé le programme, attendaient une désagréable surprise sous la forme de la porte dérobée BlactNET RAT installée.

image
Les propriétaires d'autres sites ont proposé à leurs visiteurs de commander un vaccin gratuit contre le coronavirus, en payant seulement 4 , 95 dollars pour la livraison

Le site coronaviruscovid19-information [.] Com / en a invité les visiteurs à télécharger une application mobile pour créer un médicament contre le coronavirus. L'application était un cheval de Troie bancaire qui vole des informations sur les cartes bancaires et les informations d'identification des systèmes bancaires en ligne.
Et le site uk-covid-19-relieve [.] Com a imité la conception de sites gouvernementaux au Royaume-Uni et, sous prétexte de verser une aide aux victimes de la pandémie de coronavirus, a collecté des données personnelles et des informations sur les cartes bancaires.

Menaces associées


Les auteurs de nombreuses campagnes n'écrivent pas un mot sur le coronavirus, mais ils utilisent avec succès la situation qui s'est produite en lien avec la pandémie. Cette catégorie comprend, par exemple, l'envoi de SMS avec une demande de paiement d'une amende pour violation du régime d'auto-isolement:

image
les auteurs du message s'attendent à ce que l'un des destinataires ait réellement violé le régime et satisfasse facilement aux exigences. La

quarantaine universellement introduite a conduit de nombreuses personnes à travailler à distance, ce qui a entraîné une croissance explosive de la popularité des applications de visioconférence, qui n'a pas été ralentie par les cyber fraudeurs. Par exemple, depuis le début de la pandémie COVID-19, plus de 1 700 domaines Zoom malveillants ont été enregistrés.

image
Certains de ces sites ont proposé d'installer un client pour un service populaire, mais au lieu de cela, les victimes ont reçu des logiciels malveillants InstallCore, avec lesquels les attaquants ont téléchargé des ensembles supplémentaires d'utilitaires malveillants sur leurs ordinateurs.

De nombreux services ont offert des abonnements premium à tout le monde pendant une période pandémique, et ils n'ont pas été ralentis par cette générosité Profitez des escrocs.
La campagne a commencé par l'envoi d'un message à Facebook Messenger, proposant en lien avec la mise en quarantaine dans les 2 mois pour obtenir un accès gratuit à Netflix Premium. Si l'utilisateur était connecté au compte Facebook et a suivi le lien, il a reçu une demande d'accès de l'application Netflix. Sinon, l'utilisateur a été invité à fournir des informations d'identification pour accéder au réseau social et, après une connexion réussie, il a été redirigé vers la page avec la demande d'autorisation. Lorsque l'utilisateur a accepté de continuer, une page frauduleuse avec une «offre Netflix» et une enquête à remplir pour recevoir un cadeau a été ouverte:

image

L'enquête contient des questions aléatoires et accepte toute réponse que l'utilisateur entre. À la fin de l'enquête, l'utilisateur se propose de partager le site avec vingt amis ou cinq groupes afin de recevoir un «abonnement premium»

Quel que soit le bouton sur lequel l'utilisateur clique à la fin de l'enquête, il sera redirigé vers une page demandant l'accès à Facebook. A cette étape, il est à nouveau proposé de partager un lien malveillant avec vos contacts.
Pour faciliter ce processus, les fraudeurs créent même un message, de sorte que la victime qui a compromis ses informations d'identification ne peut qu'appuyer sur un bouton pour publier.

Soyez vigilant pour vous défendre


Les criminels utilisent activement le thème de la pandémie dans les campagnes frauduleuses. Pour les contrer, les recommandations suivantes doivent être respectées:

  1. Ne suivez pas les liens d'expéditeurs inconnus et ne les partagez pas avec vos amis,
  2. vérifier la légitimité de la source d'information,
  3. vérifier l'URL du site qui vous demande des informations,
  4. N'entrez pas d'informations personnelles et de compte, ainsi que des informations de paiement sur des sites non vérifiés.

Position pandémique de Micro Trend


Nous comprenons que la situation évolue rapidement et que de nouvelles données arrivent chaque jour, c'est pourquoi nous mettons constamment à jour nos informations afin de toujours fournir les services de la plus haute qualité que les clients, partenaires et fournisseurs attendent de nous.

Afin que la crise due au virus COVID-19 n'affecte pas la convivialité des produits Trend Micro, nous veillons à la sécurité de nos collaborateurs:

  • suivre les instructions des autorités locales de tous les pays;
  • travailler à distance;
  • mouvement limité;
  • Nous sommes vigilants et utilisons des équipements de protection.

Nous sommes optimistes quant à l'avenir et nous pensons que la situation difficile actuelle contribuera à introduire de nouvelles façons de travailler ensemble et d'autres innovations, qui rendront finalement nos vies plus sûres.

More articles:


All Articles