Get best of the week

Ataques cibernéticos usando COVID-19



A pandemia de coronavírus COVID-19 é usada como engodo em campanhas maliciosas usando técnicas de engenharia social, incluindo spam, malware, criptografia e domínios maliciosos. À medida que o número de infecções aumenta em milhares, as campanhas maliciosas correspondentes também estão ganhando força. Os especialistas estão constantemente encontrando novos exemplos dessas campanhas maliciosas associadas ao coronavírus.

Minuto de Cuidados com OVNI


COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .



, .

, , .

: |

Spam de coronavírus Os

especialistas do PandaLabs descobriram o envio e recebimento de emails de spam relacionados ao coronavírus em quase todo o mundo, incluindo países como EUA, Japão, Rússia e China. Muitas dessas cartas, que parecem ter sido enviadas por organizações oficiais, afirmam que contêm informações e recomendações atualizadas sobre a pandemia. Como a maioria das campanhas de spam, elas também contêm anexos maliciosos.

Um exemplo é o spam com a linha de assunto das atualizações mais recentes do vírus Corona, supostamente enviadas pelo Ministério da Saúde. Ele contém recomendações sobre como prevenir a infecção e a carta contém um anexo que supostamente contém informações atualizadas sobre o coronavírus COVID-19. De fato, ele contém malware.



Outras mensagens de spam sobre o coronavírus estão relacionadas a suprimentos alimentares que foram interrompidos pela disseminação da infecção.



A seguinte amostra de spam em italiano contém informações importantes sobre o coronavírus:



Esta carta em português promete novas informações sobre a
vacina proposta contra o COVID-19.



Houve casos em que os medicamentos anti-coronavírus foram mencionados no e-mail de spam para tentar levar as pessoas a baixar anexos maliciosos. Às vezes, esse anexo malicioso é o HawkEye Reborn , uma variante do Trojan HawkEye que rouba informações.



Indicadores de compromisso para anexos maliciosos


SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be



Neste caso, os indicadores são comprometidos:



SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

Outra campanha de spam teve como alvo usuários na Itália, um país que foi afetado pela pandemia. O assunto e o corpo das cartas contêm o texto “Coronavírus: informações importantes sobre precauções”. O corpo da carta afirma que o anexo da carta é um documento da Organização Mundial da Saúde (OMS) e, portanto, é altamente recomendável que você baixe este documento do Microsoft Word em anexo, que contém um Trojan.



Quando o usuário abre este documento, a seguinte mensagem é exibida, forçando o usuário a ativar macros:



Indicadores de comprometimento (IOC)



SHA-256
dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2

Codificadores de malware e Coronavirus associados

Os serviços 100% PandaLabs laboratório de classificação de antivírus foi capaz de identificar e bloquear esses arquivos executáveis maliciosos associados a essas campanhas:



CORONA vírus afetado o e equipe VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56fb82d7e333454e923

LISTA DE VÍRUS DE CORONA
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd

Outros pesquisadores viram como os criminosos virtuais usam cartão on-line de monitoramento de doenças coronavírus, substituindo-os feykovye sites a partir do qual o download e instala malware. Abaixo estão os hashes de aplicativos maliciosos:



2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

Uma nova versão do ransomware CoronaVirus usou para sua distribuição um site falso para otimizar o sistema. As vítimas, sem saber, baixaram o arquivo WSGSetup.exe deste site. Em seguida, esse arquivo funcionou como um downloader para dois tipos de malware: o ransomware CoronaVirus e o ladrão de senhas do Trojan Kpot .

Esta campanha faz parte da última tendência entre os criptografadores: combina criptografia de dados com roubo de informações.

Além disso, outro ransomware chamado CovidLoc foi notadok, agora afetando usuários móveis. Este ransomware veio de um aplicativo Android malicioso que supostamente ajuda a rastrear infecções por COVID-19.

O ransomware bloqueia o telefone celular da vítima, dando-lhe apenas 48 horas para pagar um resgate de US $ 100 em bitcoins para restaurar o acesso ao seu dispositivo. Caso contrário, a vítima é ameaçada de excluir todos os dados do telefone e roubar os dados de suas contas nas redes sociais.

Domínios relacionados ao coronavírus



Além disso, o número de nomes de domínio que usam a palavra "corona" em seus nomes aumentou acentuadamente . Abaixo listamos os seguintes domínios maliciosos:

  • acccorona [.] com
  • alphacoronavirusvaccine [.] com
  • anticoronaproducts [.] com
  • beatingcorona [.] com
  • beatingcoronavirus [.] com
  • bestcorona [.] com
  • betacoronavirusvaccine [.] com
  • buycoronavirusfacemasks [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • combatcorona [.] com
  • contra-coronavirus [.] com
  • corona-blindado [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • corona explicada [.] com
  • corona-iran [.] com
  • corona-ratgeber [.] com
  • coronadatabase [.] com
  • coronadeathpool [.] com
  • coronadetect [.] com
  • coronadetection [.] com


Como esses ataques funcionam

O fato é que todos esses ataques usam vetores de penetração, que podem ser considerados "tradicionais". Todos esses vetores podem ser fechados por soluções antivírus tradicionais para proteger os dispositivos finais. Nesse caso, o PandaLabs usa os seguintes mecanismos para detectar e bloquear ameaças:

• Um serviço de classificação de 100% que classifica cada arquivo binário e permite apenas aqueles que são verificados por um sistema em nuvem com inteligência artificial.
• Tecnologias EDR e, principalmente, o sistema de detecção de indicadores . Ataques (IoA) por comportamento e contexto .

Pelo que vemos, o exemplo mais comum de ataques são emails de spam usando tecnologias de engenharia social. Essas cartas contêm um conta-gotas que carrega o arquivo binário aqui:

C: \ Usuários \ usuário \ AppData \ Local \ Temp \ qeSw.exe
Hash: 258ED03A6E4D9012F8102C635A5E3DCD As

soluções do Panda detectam o conta-gotas como Trj / GdSda.A
Esse arquivo binário criptografa o computador (processo: vssadmin. exe) e remove cópias de sombra usando o processo conhost.exe.

Fontes oficiais de IoC O

Centro Nacional de Criptografia da Espanha possui uma lista exaustiva de indicadores de compromisso (IoC) no nível de hashes, endereços IP e domínios: www.ccn.cni.es/index.php/en .

Informações estão disponíveis aqui:
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

Como se proteger dessas e de outras ameaças cibernéticas

Graças ao serviço de classificação 100%, que classifica todos os arquivos binários antes de serem lançados e bloqueia o lançamento de qualquer binário malicioso. arquivos, soluções de proteção de terminais com opções avançadas de proteção são muito eficazes para interromper campanhas maliciosas como muitas outras.

O serviço usa um mecanismo altamente eficiente para detectar e remover malware e ransomware antes de serem lançados, independentemente de serem novas opções de ameaça ou novos domínios maliciosos, como é o caso de objetos maliciosos associados ao COVID-19.

Indicadores de ataque comportamental e contextual (IoA)Detecte e bloqueie padrões incomuns de comportamento em dispositivos protegidos: por exemplo, baixando um arquivo executável do Word ou tentando acessar URLs desconhecidos ou mal-intencionados. Qualquer tentativa de comprometer o dispositivo é imediatamente bloqueada e a execução de ações maliciosas e a conexão com domínios maliciosos são interrompidas.

More articles:


All Articles