Get best of the week

Bagaimana penjahat cyber menggunakan pandemi coronavirus untuk tujuan mereka sendiri

Acara profil tinggi selalu menjadi kesempatan yang sangat baik untuk kampanye penipuan, dan dalam hal ini, pandemi coronavirus tidak menjadi sesuatu yang istimewa. Namun, meskipun ada kesamaan, masih ada perbedaan: ketakutan umum terhadap infeksi telah menjadikan nama penyakit sebagai faktor kuat dalam meningkatkan efektivitas serangan. Kami telah mengumpulkan statistik tentang insiden yang terkait dengan COVID-19, dan dalam posting ini kami akan berbagi episode yang paling menarik.

gambar

Menurut pemantauan kami, pada kuartal pertama 2020, email spam adalah sumber utama serangan cyber terkait virus. Jumlah email semacam itu dari Februari hingga Maret meningkat 220 kali:

gambar
Jumlah email spam yang terkait dengan COVID-19

. Situs web berbahaya telah menjadi area lain dari kampanye COVID. Selama kuartal pertama, kami mendaftarkan sekitar 50 ribu URL jahat yang berisi nama infeksi berbahaya. Dari Februari hingga Maret, jumlah situs semacam itu meningkat 260%:

gambar
Jumlah URL jahat yang terkait dengan COVID-19

Pengembang perangkat lunak jahat menunjukkan aktivitas yang tidak kalah. Untuk kuartal pertama, kami mengidentifikasi lebih dari 700 jenis malvari berorientasi COVID:

gambar
Jumlah malware yang terkait dengan COVID-19

Jumlah serangan terbesar jatuh di Amerika Serikat, tetapi negara-negara lain yang terinfeksi juga diserang.

Mari kita perhatikan masing-masing kategori ini secara lebih rinci. Mari kita mulai dengan malware, karena di sini kita dihadapkan dengan fenomena yang agak aneh: beberapa operator ransomware mengambil kewarganegaraan aktif dan mengumumkan bahwa lembaga medis tidak akan menyerang pandemi.

Malware


Kesempatan untuk mendapat untung dari topik hangat membuat banyak veteran hidup kembali. Misalnya, versi Trojan perbankan Zeus Sphinx bermerek COVID muncul, yang didistribusikan menggunakan distribusi dokumen Microsoft Word yang dilindungi kata sandi yang disebut “bantuan COVID 19”.

gambar
Jika pengguna membuka lampiran, memasukkan kata sandi dan memasukkan makro, Zeus Sphinx diinstal pada komputernya. Sumber (selanjutnya, kecuali dinyatakan lain): Trend Micro

Operator malware AZORult bertindak lebih awalnya: mereka membuat copy situs web Universitas Johns Hopkins dengan peta distribusi coronavirus pada domain Corona-Virus-Map.com (sekarang dinonaktifkan). Untuk menerima lebih banyak informasi operasional, pengunjung diminta untuk mengunduh aplikasi ke komputer.

gambar
Setuju dengan tawaran situs penyebaran virus palsu tentang menginstal perangkat lunak tambahan, yang diterima pada perangkat mereka. AZORult

Operator Ransomware dibagi menjadi dua kelompok: beberapa dari mereka mengumumkan bahwa mereka tidak akan menyerang rumah sakit, rumah sakit, dan fasilitas medis selama pandemi, sementara sisanya berlanjut. aktivitas jahatnya tanpa batasan apa pun.
CLOP Ransomware, DoppelPaymer Ransomware, Maze Ransomware, dan Nefilim Ransomware mendaftar ke klub Noble Pirates, sementara Netwalker mengatakan bahwa mereka tidak secara khusus memilih rumah sakit, tetapi jika ada di antara mereka yang menemukan file mereka dienkripsi, maka membayar tebusan.
Operator Ryuk dan ransomware lainnya tidak membuat pernyataan, tetapi hanya melanjutkan serangan itu.

gambar
Pengguna mengonfirmasi kerja lanjutan

Ryuk meskipun pandemi CovidLock Mobile ransomware didistribusikan melalui situs web sendiri sebagai file apk untuk menghindari pemblokiran di toko aplikasi resmi.

gambar
Untuk menciptakan ilusi keandalan dan kualitas, penulis CovidLock menggunakan gambar penilaian dari Play Market, serta logo WHO dan Pusat Pengendalian dan Pencegahan Penyakit.

Penulis malware mengatakan bahwa aplikasi ini memungkinkan pemantauan wabah koronavirus “di jalan Anda, di kota dan di negara bagian secara langsung. »Di lebih dari 100 negara.

Dan penulis infosyler malware Oski menggunakan cara asli untuk mendistribusikan aplikasi mereka:
• memindai Internet untuk router rumah yang rentan D-Link dan Linksys,
• menggunakan kerentanan, mereka memperoleh akses ke manajemen dan mengubah pengaturan server DNS menjadi milik mereka:

gambar
Ketika pengguna yang terhubung ke router memasukkan alamat apa pun di browser, mereka dialihkan ke situs scam, yang atas nama WHO menyarankan untuk mengunduh dan menginstal aplikasi COVID-19 Inform. Pengguna yang menginstal "informan" menerima infostiller Oski sebagai gantinya

Daftar surat


Para penulis banyak surat menakut-nakuti dan bahkan memeras penerima surat mereka untuk memaksa mereka membuka lampiran dan mengikuti instruksi lainnya.
Warga negara Kanada menerima buletin atas nama Mary, seorang karyawan pusat medis. Dalam surat itu, "Maria" mengatakan bahwa menurut informasi yang diterima, penerima surat itu berhubungan dengan seorang pasien dengan coronavirus, oleh karena itu ia perlu mengisi kuesioner terlampir sesegera mungkin dan menghubungi rumah sakit terdekat untuk pengujian:

gambar
Ketika korban yang ketakutan membuka lampiran, ia diminta untuk mengizinkan pelaksanaan makro, setelah Apa yang diinstal pada infostiller komputer, yang mengumpulkan dan mengirimkan kepada penyerang mandat yang tersimpan, informasi tentang kartu bank dan dompet kripto

Italia, sebagai salah satu negara terkemuka dalam hal jumlah virus corona yang terinfeksi, dihantam oleh para penyerang. Kami telah mencatat lebih dari 6.000 surat yang terkait dengan topik pandemi.
Misalnya, dalam salah satu kampanye ini, surat dikirim dalam bahasa Italia, di mana pengirim atas nama Organisasi Kesehatan Dunia menyarankan agar penerima segera membiasakan diri dengan tindakan pencegahan coronavirus dalam dokumen terlampir:

gambar
Saat membuka dokumen, izin diminta untuk menjalankan makro, dan jika korban memberikannya, sebuah trojan dipasang di komputer

Banyak surat telah dikaitkan dengan pengiriman atau penundaan karena penyebaran penyakit. Misalnya, dalam salah satu surat ini, yang diduga dikirim dari Jepang, penundaan pengiriman dilaporkan dan disarankan untuk membiasakan diri dengan jadwal terlampir pada lampiran:

gambar
Saat membuka lampiran dari arsip, program jahat dipasang di komputer

Situs Penipuan


Penjahat dunia maya tidak hanya mendaftarkan domain secara besar-besaran yang terkait dengan pandemi, tetapi juga secara aktif menggunakannya untuk kegiatan penipuan.
Sebagai contoh, situs antivirus-covid19.site yang sepenuhnya anekdot menyarankan untuk mengunduh dan menginstal aplikasi Antivirus Corona di komputer Anda untuk perlindungan terhadap infeksi.
Para penulis tidak mengungkapkan “antivirus” mekanisme aksi, dan orang-orang yang, untuk beberapa alasan, bagaimanapun download dan menginstal program, menerima kejutan yang tidak menyenangkan dalam bentuk terpasang BlactNET RAT backdoor.

gambar
Pemilik situs lain yang ditawarkan pengunjung untuk memesan vaksin coronavirus gratis, hanya membayar 4 , 95 dolar untuk pengiriman

Situs coronaviruscovid19-information [.] Com / en mengundang pengunjung untuk mengunduh aplikasi seluler untuk membuat obat untuk coronavirus. Aplikasi ini adalah trojan perbankan yang mencuri informasi tentang kartu bank dan kredensial sistem perbankan online.
Dan situs uk-covid-19-lega [.] Com meniru desain situs pemerintah di Inggris dan, dengan kedok membayar bantuan kepada para korban pandemi coronavirus, mengumpulkan data pribadi dan informasi tentang kartu bank.

Ancaman terkait


Penulis banyak kampanye tidak menulis sepatah kata pun tentang coronavirus, tetapi mereka berhasil menggunakan situasi yang muncul sehubungan dengan pandemi. Kategori ini mencakup, misalnya, pengiriman SMS dengan permintaan untuk membayar denda karena melanggar rezim isolasi diri:

gambar
Penulis pesan berharap bahwa salah satu penerima telah benar-benar melanggar rezim dan siap memenuhi persyaratan.

Karantina yang diperkenalkan secara universal telah menyebabkan banyak orang yang bekerja dari jarak jauh, akibatnya ada pertumbuhan eksplosif dalam popularitas aplikasi konferensi video, yang tidak diperlambat oleh penipu dunia maya. Misalnya, sejak dimulainya pandemi COVID-19, lebih dari 1.700 domain Zoom berbahaya telah didaftarkan.

gambar
Beberapa situs menawarkan untuk menginstal klien untuk layanan populer, tetapi alih-alih, korban menerima malware InstallCore, yang digunakan penyerang mengunduh set tambahan utilitas jahat ke komputer mereka.

Banyak layanan menawarkan langganan premium kepada semua orang untuk periode pandemi, dan mereka tidak diperlambat oleh kemurahan hati ini. Manfaatkan scammers.
Kampanye dimulai dengan mengirim pesan ke Facebook Messenger, menawarkan sehubungan dengan karantina dalam waktu 2 bulan untuk mendapatkan akses gratis ke Netflix Premium. Jika pengguna masuk ke akun Facebook dan mengikuti tautan, ia menerima permintaan untuk akses dari aplikasi Netflix. Jika tidak, pengguna diminta kredensial untuk masuk ke jejaring sosial, dan setelah login berhasil, ia dialihkan ke halaman dengan permintaan izin. Ketika pengguna setuju untuk melanjutkan, halaman palsu dengan "tawaran Netflix" dan survei yang harus diselesaikan untuk menerima hadiah dibuka:

gambar

Survei ini berisi pertanyaan acak dan menerima jawaban apa pun yang dimasukkan pengguna. Di akhir survei, pengguna ditawari untuk berbagi situs dengan dua puluh teman atau lima kelompok untuk menerima "langganan premium"

Tidak peduli tombol apa pun yang diklik pengguna pada akhir survei, mereka akan diarahkan ke halaman yang meminta akses ke Facebook. Pada langkah ini, sekali lagi diusulkan untuk membagikan tautan jahat dengan kontak Anda.
Untuk membuat proses ini lebih mudah, penipu bahkan membuat posting, sehingga korban yang membahayakan kredensinya hanya dapat menekan tombol untuk mempublikasikan.

Waspadai untuk membela diri


Penjahat aktif menggunakan tema pandemi dalam kampanye penipuan. Untuk mengatasinya, rekomendasi berikut harus diperhatikan:

  1. Jangan ikuti tautan dari pengirim yang tidak dikenal dan jangan membaginya dengan teman-teman Anda,
  2. periksa keabsahan sumber informasi,
  3. periksa URL situs yang meminta Anda untuk informasi,
  4. Jangan masukkan informasi pribadi dan akun, serta informasi pembayaran di situs yang tidak diverifikasi.

Tren Pandemi Tren Posisi Mikro


Kami memahami bahwa situasinya berkembang pesat, dan data baru tiba setiap hari, oleh karena itu kami terus memperbarui informasi kami untuk selalu menyediakan layanan kelas tertinggi yang diharapkan oleh pelanggan, mitra, dan pemasok dari kami.

Agar krisis akibat virus COVID-19 tidak memengaruhi kegunaan produk Trend Micro, kami menjaga keamanan karyawan kami:

  • ikuti instruksi dari otoritas lokal di semua negara;
  • bekerja dari jarak jauh;
  • gerakan terbatas;
  • Kami waspada dan menggunakan peralatan pelindung.

Kami optimis tentang masa depan dan percaya bahwa situasi sulit saat ini akan membantu memperkenalkan cara baru untuk bekerja sama dan inovasi lain, yang pada akhirnya akan membuat hidup kita lebih aman.

More articles:


All Articles