Como os fraudadores do Runet reagiram ao coronavírus

Após uma observação sobre as formas de ameaças cibernéticas associadas ao coronavírus, decidi analisar como a Internet russa respondeu a uma pandemia e o que acontece com as ameaças cibernéticas em nosso país, como phishing e sites fraudulentos.



Como ponto de partida, comecei a usar nosso serviço de monitoramento e proteção de DNS - Cisco Umbrella , que processa mais de 150 bilhões de consultas DNS por dia e as analisa quanto a malware. Usando a ferramenta de investigação Cisco Umbrella Investigate , a primeira coisa que decidi fazer foi verificar a criação ativa de domínios que usam as palavras-chave "covid" e "coronavirus" em seus nomes. Nos últimos 7 dias, apareceram os seguintes:

- 257 domínios com "coronavírus", dos quais 170 foram classificados como maliciosos



- 271 domínios com "covid", dos quais 121



- 349 domínios com "máscara" foram classificados como maliciosos (e seu número está aumentando constantemente) , dos quais apenas 9 são classificados como maliciosos e 1 como phishing.



A classificação de domínios maliciosos ainda é preliminar, pois muitos domínios são registrados apenas, mas ainda não são utilizados pelos criminosos cibernéticos.



Pegue, por exemplo, o domínio covid19-russia [.] Ru e tente realizar uma investigação blitz sobre ele:



o domínio foi registrado em 17 de março, o que geralmente não é surpreendente e não deve causar suspeitas nesse caso específico, como em outros casos em que a data de criação do domínio é um indicador muito importante para detectar atividades maliciosas. Para uma pandemia de coronavírus, é difícil esperar o que se sabia sobre isso no ano passado ou antes. Portanto, os domínios dedicados ao coronavírus começaram a aparecer apenas agora.



Vejamos o endereço IP no qual esse domínio trava. Como podemos ver, também é um refúgio para vários domínios, alguns dos quais estão associados à pandemia atual:



e temos o mesmo endereço associado a vários programas maliciosos que se espalham a partir do endereço IP especificado ou dos sites que estão pendurados nele, ou eles usam esse endereço como um interruptor de interrupção ou como um servidor de comando, que envia os comandos apropriados e recebe respostas das vítimas infectadas com código malicioso. O primeiro da lista de amostras maliciosas associadas ao IP especificado, vemos o Emotet, já mencionado no artigo anterior:



Esta amostra é usada em outras campanhas, julgando pela análise de sua interação de rede:



Se você usa outro serviço da Cisco, a sandboxCisco Threat Grid , podemos obter informações mais detalhadas sobre este exemplo, por exemplo, uma lista detalhada de indicadores comportamentais que "funcionaram" neste caso:



Analisando os processos que foram lançados como parte do trabalho de Emotet no computador da vítima:



entendemos que neste No caso, era um documento do MS Word que foi recebido / baixado por uma vítima interagindo com o endereço IP e o domínio que estamos examinando:



Se necessário, podemos vincular os indicadores identificados à matriz MITRE ATT & CK, usada por muitos SOCs como parte de suas atividades:



Mas voltando à análise do endereço IP em que estamos interessados, em que vários domínios que exploram o tema do coronavírus “permanecem”. Esse endereço está localizado no sistema autônomo AS198610, que também está associado a determinadas atividades maliciosas, por exemplo, no mapa de distribuição on-line COVID-19 coronavirusmaponline [.] Com:



criado em 23 de março de 2020:



e em cujo site 1º de abril código malicioso apareceu. Talvez isso tenha acontecido de propósito ou talvez o site tenha sido hackeado e um malware tenha sido colocado nele; isso requer uma investigação separada.



Não analisei todas as centenas de sites criados na última semana (e em um mês o número já ultrapassou mil), mas a imagem é semelhante a eles. A maioria dos sites cujos nomes contêm as palavras "covid" ou "coronavirus" são maliciosos e, sob o pretexto de notícias sobre uma pandemia, sobre o número real de casos, sobre maneiras de combater o COVID-19, eles espalham código malicioso e infectam os usuários com malware bastante "familiar" programas.

Sem surpresa, por trás dos grandes nomes geralmente não há nada. Muitas vezes, este é um site WordPress criado rapidamente, por exemplo, como coronavirus19-pandemia [.] Ru:



Ao mesmo tempo, uma tentativa de conduzir esses sites através do Cisco Threat Grid revela várias anomalias que podem ser inerentes ao código malicioso (embora possam ser as mãos tortas dos programadores que “rapidamente” criaram o site a partir do que era). Não comecei a realizar uma análise mais profunda de cada site devido à falta de tempo. Mas, lembrando o último post em que mencionei o plug-in malicioso do WordPress, bem como a prática comum de invadir sites do WordPress e espalhar códigos maliciosos por eles, posso assumir que, com o tempo, este site mostrará sua verdadeira face.



Outra observação interessante que fiz foi relacionada a uma determinada comunidade de domínios criados. Por exemplo, o momento em que os notamos pela primeira vez. Por alguma razão, muitos deles caíram na nossa vista ao mesmo tempo.



Mas muitas vezes eles estão localizados no mesmo sistema autônomo. Por exemplo, três domínios são os coronavírus19-pandemia [.] Ru mencionados anteriormente, maskacoronavirus [.] Ru e mask-3m [.] Ru. Por alguma razão, todos os três estão localizados na AS 197695, e muitos deles são marcados pela Cisco Umbrella como maliciosos, com uma classificação negativa máxima de 100. O domínio mask-3m [.] Ru possui uma classificação não perigosa (no momento da redação deste artigo, 28), mas está hospedado no endereço IP 31 [.] 31 [.] 196 [.] 138, que está na nossa lista negra e está associado a várias atividades maliciosas:



A propósito, esse sistema autônomo AS 197695 se tornou um paraíso para muitos recursos maliciosos. Por exemplo, ele hospeda o site de phishing telegramm1 [.] Ru:



assim como o awitoo [.] ru, que não apenas se parece com um site de phishing, mas também espalha código malicioso. Aqui está como o sistema Cisco Threat Response exibe os links entre esse domínio e vários artefatos :



domínios de phishing associados ao projeto Voice 1, rede social do Facebook, loja online da Amazon, loja online da Amazon, serviço iCloud e outros projetos da Apple também estão localizados lá. com lojas de óptica "Ochkarik", e muitos outros.

O tópico de sites que coletam dinheiro para combater o coronavírus não é ignorado. Por exemplo, aqui está um fundo de coronavírus que coleta essas doações (você só precisa transferir dinheiro para um cartão):



Uma imagem semelhante é do site de dinheiro oculto [.] Ru, que ensina como ganhar dinheiro com o COVID-19. Para fazer isso, deixe o aplicativo apropriado e um gerente entrará em contato com você, que lhe dirá os segredos de ganhar. É verdade que esses dois sites, ucraniano e russo, "travam" no mesmo IP com o qual encontramos o código malicioso associado:



por uma estranha coincidência, um domínio também foi anexado a ele, supostamente, Cisco:



A propósito, tais " criadouros de cibercoronavírus, quando no mesmo endereço ou em uma única rede autônoma, existem vários recursos maliciosos, bastante. Por exemplo, no IP 88 [.] 212 [.] 232 [.] 188 várias dezenas de domínios “paralisam” de uma só vez, que, a julgar pelo nome, são direcionadas para cidades específicas da Rússia - Ecaterimburgo, Saratov, Irkutsk, Kazan, Belgorod, Khabarovsk e etc.



Agora eu gostaria de retornar ao domínio a partir do qual iniciei este artigo. Este domínio "trava" no endereço IP 87 [.] 236 [.] 16 [.] 164, com o qual, além de dezenas de outros domínios, um domínio com um endereço interessante está associado: antivirus.ru [.] Com. Quando o Cisco Threat Response o identificou como suspeito no decorrer da investigação, primeiro pensei que o site desse domínio distribuísse antivírus por analogia com a história que contei da última vez (um antivírus de software que luta contra o verdadeiro COVID-19).



Mas não. Aconteceu que este é o site da loja online, criada em 6 de março. Tive a impressão de que aqueles que o criaram pegaram o motor pronto para a loja de roupas femininas e simplesmente adicionaram produtos "quentes" relacionados ao coronavírus - máscaras médicas, anti-sépticos, géis para as mãos e luvas.



Mas os desenvolvedores não puseram as mãos nele ou não queriam, mas agora é impossível comprar qualquer coisa no site - os links de compra não levam a lugar algum. Além de anunciar um agente antimicrobiano muito específico e atividades suspeitas no próprio site no processo de sua execução, o site não tem nada mais útil. E ele não tem nada para visitar, e esse número é medido em unidades. Mas, como o exemplo a seguir mostrará, se você começar a promover esse domínio, ele poderá levar à infraestrutura ramificada usada pelos criminosos cibernéticos.



Com domínios nos quais a palavra “máscara” é mencionada, a situação continua a se desenvolver rapidamente. Alguns domínios são criados especificamente para venda subsequente. Alguns domínios foram criados apenas, mas ainda não estão envolvidos. Alguns domínios obviamente são phishing ou espalham diretamente códigos maliciosos. Alguns recursos simplesmente parasitam o tema de uma pandemia e a preços exorbitantes vendem respiradores e máscaras médicas, que até recentemente custavam de 3 a 5 rublos cada. E muitas vezes todos esses domínios estão interconectados, como mostrado acima. Alguém cria e gerencia esse tipo de infraestrutura de domínios maliciosos, explorando o tema do coronavírus.

Note-se que uma situação semelhante é observada não apenas no Runet. Tomemos o domínio mygoodmask [.] Com, criado em 27 de fevereiro e, a julgar pela distribuição de solicitações, era popular entre o público nos Estados Unidos, Cingapura e China. Ele também vendeu máscaras médicas. Este site, por si só, não levantou suspeitas e, ao inserir seu endereço no Cisco Threat Response, não veremos nada de interessante:



mas sem parar nisso, vamos mais longe e entendemos que quando tentamos acessar mygoodmask [.] Com (observação que os indicadores comportamentais nesse caso são semelhantes ao anterior):



somos redirecionados para greatmasks [.] com, que resolve dois endereços IP - 37 [.] 72 [.] 184 [.] 5 e 196 [.] 196 [.] 3 [.] 246, o último dos quais é malicioso e hospedou muitos sites maliciosos nos últimos anos. O primeiro endereço IP é resolvido em vários domínios relacionados à venda de máscaras médicas - safetysmask [.] Com, flumaskstore [.] Com, maskhealthy [.] Com, etc. (total mais de uma dúzia).



Podemos exibir as mesmas informações, mas apresentadas de forma diferente, usando o Cisco Threat Response, uma solução gratuita para investigar incidentes, à qual já dediquei vários artigos sobre Habré:



Uma análise blitz dos dados da semana passada usando o Cisco Umbrella Investigate mostra que ainda temos um "líder" claro que acumula quase 80% de todos os recursos maliciosos associados à pandemia de coronavírus, o sistema autônomo AS 197695:



além de de todos os exemplos descritos acima, de fato, serve não apenas o tópico COVID-19, mas também muitos outros, o que sugere que os atacantes não têm preferência pela pandemia atual. É que eles aproveitaram uma ocasião informativa e espalharam códigos maliciosos, atraem usuários para sites de phishing e prejudicam os usuários comuns de Runet.



Quando o hype em torno da pandemia diminuir, a mesma infraestrutura será usada para promover outros tópicos. Por exemplo, a infra-estrutura mencionada, cuja investigação começou com o site mygoodmask [.] Com, na verdade só recentemente começou a "promover" o tópico de máscaras médicas - antes disso, havia se envolvido na distribuição de correspondências de phishing sobre eventos esportivos, acessórios de moda, incluindo óculos de sol e sacos, etc. E nisso, nossos cibercriminosos não são muito diferentes de seus colegas estrangeiros.



Bem, a conclusão desta investigação blitz, que conduzi na noite de 1º de abril, será simples - os fraudadores usam qualquer um, mesmo como o vírus COVID-19, com uma alta taxa de mortalidade, razões para sua atividade. Portanto, em nenhum caso você deve relaxar e pensar que o site que visitamos com o cartão de distribuição de pandemia on-line, o boletim de ofertas para comprar um respirador ou mesmo o link de rede social que leva ao site para teleconferências é inicialmente seguro. Vigilância! É isso que nos ajuda a aumentar nossa segurança ao navegar na Internet. E as soluções da Cisco descritas neste artigo ( Cisco Umbrella Investigate , Cisco Threat Grid , Cisco Threat Response) ajudar especialistas a conduzir investigações e identificar oportunamente as ameaças cibernéticas descritas.

PS Como no outro dia, um tópico que surgiu sobre a criação maciça de sites falsos relacionados ao sistema de hospedagem on-line Zoom, ainda não encontrei esses recursos no RuNet, o que não pode ser dito sobre o resto da Internet, onde muitos desses domínios foram criados.