🌴 ⁉️ 👧 Serangan cyber menggunakan COVID-19 🧑🏿 🤔 🦍

Pandemi coronavirus COVID-19 digunakan sebagai umpan dalam kampanye jahat menggunakan teknik rekayasa sosial, termasuk spam, malware, enkripsi, dan domain jahat. Karena jumlah infeksi meningkat ribuan, kampanye jahat yang terkait juga mendapatkan momentum. Spesialis terus-menerus menemukan contoh baru dari kampanye jahat yang terkait dengan coronavirus.

Menit Perawatan UFO

COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .

C
C
()

, .

, , .

: |

Spam Coronavirus

Para ahli PandaLabs menemukan mengirim dan menerima email spam yang berhubungan dengan coronavirus hampir di seluruh dunia, termasuk negara-negara seperti Amerika Serikat, Jepang, Rusia dan Cina. Banyak dari surat-surat ini, yang sepertinya dikirim dari organisasi resmi, menyatakan bahwa mereka berisi informasi terbaru dan rekomendasi mengenai pandemi. Seperti kebanyakan kampanye spam, mereka juga mengandung lampiran jahat.

Salah satu contohnya adalah spam dengan baris subjek Pembaruan Terbaru Virus Corona, yang diduga dikirim oleh Kementerian Kesehatan. Ini berisi rekomendasi tentang cara mencegah infeksi, dan surat itu berisi lampiran yang konon berisi informasi terbaru tentang coronavirus COVID-19. Bahkan, itu mengandung malware.

Pesan spam lainnya tentang coronavirus terkait dengan persediaan makanan yang terganggu oleh penyebaran infeksi.

Sampel spam Italia berikut berisi informasi penting tentang coronavirus:

Surat Portugis ini menjanjikan informasi baru tentang
vaksin yang diusulkan melawan COVID-19.

Ada beberapa kasus di mana obat anti-korona disebutkan dalam subjek email spam untuk membuat orang mengunduh lampiran jahat. Terkadang lampiran berbahaya seperti itu adalah HawkEye Reborn , varian dari HawkEye Trojan yang mencuri informasi.

Indikator kompromi untuk lampiran berbahaya

SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be

Dalam hal ini, indikator terganggu:

SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

Kampanye spam lain menargetkan pengguna di Italia, negara yang dilanda pandemi. Subjek dan isi surat berisi teks "Coronavirus: informasi penting tentang tindakan pencegahan". Badan surat menyatakan bahwa lampiran dalam surat itu adalah dokumen dari Organisasi Kesehatan Dunia (WHO), dan oleh karena itu sangat disarankan Anda mengunduh dokumen Microsoft Word terlampir ini, yang berisi Trojan.

Ketika pengguna membuka dokumen ini, pesan berikut ini ditampilkan, memaksa pengguna untuk mengaktifkan makro:

Indikator kompromi (IOC)

SHA-256
dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2

Coders malware dan terkait Coronavirus

Layanan 100% klasifikasi antivirus PandaLabs laboratorium mampu mengidentifikasi dan memblokir file-file executable berbahaya terkait dengan kampanye ini:

CORONA VIRUS TERKENA DAN CREW VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56fb82d7e333454e923

DAFTAR CORONA VIRUS
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd

Peneliti lain telah melihat bagaimana penjahat cyber menggunakan kartu secara online pemantauan penyakit coronavirus, menggantinya feykovye website yang mendownload dan menginstal malware. Berikut adalah hash dari aplikasi berbahaya:

2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

Versi baru dari ransomware CoronaVirus yang digunakan untuk distribusinya sebagai situs palsu untuk mengoptimalkan sistem. Para korban tanpa sadar mengunduh file WSGSetup.exe dari situs ini. Kemudian file ini berfungsi sebagai pengunduh untuk dua jenis malware: ransomware CoronaVirus dan pencuri kata sandi Trojan Kpot .

Kampanye ini adalah bagian dari tren terbaru di antara kriptografi: menggabungkan enkripsi data dengan pencurian informasi.

Selain itu, ransomware lain bernama CovidLoc juga diperhatikank, sekarang memengaruhi pengguna seluler. Ransomware ini berasal dari aplikasi Android jahat yang konon membantu melacak infeksi COVID-19.

Ransomware memblokir ponsel korbannya, memberinya hanya 48 jam untuk membayar uang tebusan $ 100 dalam bentuk bitcoin untuk memulihkan akses ke perangkatnya. Jika tidak, korban diancam untuk menghapus semua data dari telepon dan mencuri data akun mereka di jejaring sosial.

Domain Terkait Coronavirus

Selain itu, jumlah nama domain yang menggunakan kata "corona" dalam nama mereka telah meningkat tajam . Di bawah ini kami mencantumkan domain berbahaya berikut:

acccorona [.] com
alphacoronavirusvaccine [.] com
produk antikoron [.] com
beatingcorona [.] com
beatingcoronavirus [.] com
bestcorona [.] com
betacoronavirusvaccine [.] com
buycoronavirusfacemasks [.] com
byebyecoronavirus [.] com
cdc-coronavirus [.] com
combatcorona [.] com
contra-coronavirus [.] com
corona-blindado [.] com
corona-crisis [.] com
corona-emergencia [.] com
corona explicada [.] com
corona-iran [.] com
corona-ratgeber [.] com
coronadatabase [.] com
coronadeathpool [.] com
coronadetect [.] com
coronadetection [.] com

Bagaimana serangan ini bekerja

Faktanya adalah bahwa semua serangan ini menggunakan vektor penetrasi, yang dapat dianggap "tradisional". Semua vektor ini dapat ditutup dengan solusi antivirus tradisional untuk melindungi perangkat akhir. Dalam hal ini, PandaLabs menggunakan mekanisme berikut untuk mendeteksi dan memblokir ancaman:

• Layanan klasifikasi 100% yang mengklasifikasikan setiap file biner dan hanya memungkinkan mereka yang diperiksa oleh sistem cloud dengan kecerdasan buatan
• Teknologi EDR dan, terutama, sistem deteksi indikator Serangan (IoA) berdasarkan perilaku dan konteks .

Dari apa yang kita lihat, contoh serangan yang paling umum adalah email spam menggunakan teknologi rekayasa sosial. Surat-surat tersebut berisi dropper yang memuat file biner di sini:

C: \ Users \ user \ AppData \ Local \ Temp \ qeSw.exe
Hash: 258ED03A6E4D9012F8102C635A5E3DCD

Solusi Panda mendeteksi penetes sebagai Trj / GdSda.A
File biner ini mengenkripsi komputer (proses: vssadmin. exe) dan menghapus salinan bayangan menggunakan proses conhost.exe.

Sumber resmi IoC

Pusat Kriptografi Nasional Spanyol memiliki daftar lengkap indikator kompromi (IoC) di tingkat hash, alamat IP, dan domain: www.ccn.cni.es/index.php/en .

Informasi tersedia di sini:
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

Bagaimana melindungi diri Anda dari ancaman cyber ini dan lainnya.

Terima kasih kepada layanan klasifikasi 100%, yang mengklasifikasikan semua file biner sebelum diluncurkan dan memblokir peluncuran semua binari jahat. file, solusi perlindungan titik akhir dengan opsi perlindungan lanjutan sangat efektif dalam menghentikan kampanye berbahaya seperti banyak lainnya.

Layanan ini menggunakan mekanisme yang sangat efektif untuk mendeteksi dan menghapus malware dan ransomware sebelum diluncurkan, terlepas dari apakah itu opsi ancaman baru atau domain jahat baru, seperti halnya dengan objek jahat yang terkait dengan COVID-19.

Indikator serangan perilaku dan kontekstual (IoA)Mendeteksi dan memblokir pola perilaku yang tidak biasa pada perangkat yang dilindungi: misalnya, mengunduh file yang dapat dieksekusi dari Word atau mencoba mengakses URL yang tidak dikenal atau berbahaya. Segala upaya untuk mengkompromikan perangkat segera diblokir, dan eksekusi tindakan jahat dan koneksi ke domain jahat dihentikan.

Serangan cyber menggunakan COVID-19

Menit Perawatan UFO

Domain Terkait Coronavirus

More articles: