Get best of the week

Como os cibercriminosos usam a pandemia de coronavírus para seus próprios fins

Eventos de alto nível sempre foram uma excelente ocasião para campanhas fraudulentas e, nesse sentido, a pandemia de coronavírus não se tornou nada de especial. No entanto, apesar das semelhanças, ainda existem diferenças: o medo geral de infecção tornou o nome da doença um fator poderoso no aumento da eficácia dos ataques. Reunimos estatísticas sobre incidentes relacionados ao COVID-19 e, neste post, compartilharemos os episódios mais interessantes.

imagem

De acordo com nosso monitoramento, no primeiro trimestre de 2020, os e-mails de spam foram a principal fonte de ataques cibernéticos relacionados ao coronavírus. O número desses e-mails de fevereiro a março aumentou 220 vezes: O

imagem
número de e-mails de spam relacionados ao COVID-19

. Os sites maliciosos se tornaram outra área das campanhas do COVID. Durante o primeiro trimestre, registramos cerca de 50 mil URLs maliciosos contendo o nome de uma infecção perigosa. De fevereiro a março, o número desses sites aumentou 260%: O

imagem
número de URLs maliciosos associados aos desenvolvedores de COVID-19

Malware não mostrou menos atividade. No primeiro trimestre, identificamos mais de 700 variedades de malvari orientado a COVID:

imagem
Número de malware relacionado ao COVID-19

O maior número de ataques caiu nos Estados Unidos, mas outros países infectados também foram atacados.

Vamos considerar cada uma dessas categorias com mais detalhes. Vamos começar com o malware, porque aqui estamos diante de um fenômeno bastante curioso: alguns dos operadores de ransomware mostraram uma cidadania ativa e anunciaram que as instituições médicas não atacariam a pandemia.

Malware


A oportunidade de lucrar com um tópico quente trouxe muitos veteranos de volta à vida. Por exemplo, apareceu uma versão da marca COVID do Trojan bancário Zeus Sphinx, cuja distribuição de um documento do Microsoft Word protegido por senha com o nome "alívio COVID 19" foi usada.

imagem
Se o usuário abriu o anexo, digitou a senha e incluiu macros, o Zeus Sphinx foi instalado em seu computador. Fonte (doravante, salvo indicação em contrário): Trend Micro

Os operadores de malware AZORult agiram mais originalmente: eles criaram uma cópia de trabalho do site da Universidade Johns Hopkins com um mapa de distribuição de coronavírus no domínio Corona-Virus-Map.com (agora desativado). Para receber mais informações operacionais, os visitantes foram solicitados a baixar o aplicativo no computador.

imagem
Concordaram com a oferta de um site falso de disseminação de vírus sobre a instalação de software adicional, recebido em seu dispositivo. Os

operadores do AZORult Ransomware foram divididos em dois grupos: alguns anunciaram que não atacariam hospitais, hospitais e instalações médicas durante a pandemia, enquanto o restante continuava sua atividade maliciosa sem nenhuma restrição.
O CLOP Ransomware, o DoppelPaymer Ransomware, o Maze Ransomware e o Nefilim Ransomware se inscreveram no clube Noble Pirates, enquanto o Netwalker disse que não escolhe especificamente hospitais, mas se algum deles encontrar seus arquivos criptografados, pague um resgate.
Os operadores de Ryuk e outro ransomware não fizeram nenhuma declaração, mas simplesmente continuaram o ataque.

imagem
Os usuários confirmam o trabalho contínuo da

Ryuk , apesar do pandemia do ransomware CovidLock Mobile ser distribuído em seu próprio site como um arquivo apk para evitar o bloqueio nas lojas oficiais de aplicativos.

imagem
Para criar a ilusão de confiabilidade e qualidade, os autores do CovidLock usaram imagens de classificação do Play Market, além de logotipos da OMS e do Centro de Controle e Prevenção de

Doenças.Os autores de malware dizem que o aplicativo permite o monitoramento em tempo real dos surtos de coronavírus “na sua rua, na cidade e no estado »Em mais de 100 países.

E os autores do infosyler do malware Oski usaram a maneira original de distribuir seu aplicativo:
• examinaram a Internet em busca de roteadores domésticos vulneráveis, D-Link e Linksys,
• usando vulnerabilidades, eles obtiveram acesso ao gerenciamento e alteraram as configurações dos servidores DNS por conta própria:

imagem
quando os usuários conectados aos roteadores inseriam qualquer endereço no navegador, eles eram redirecionados para o site fraudulento, que em nome da OMS sugeria baixar e instalar o aplicativo COVID-19 Inform. Os usuários que instalaram o "informante" receberam o infostiller Oski

Listas de discussão


Os autores de muitas correspondências assustam e até chantageiam os destinatários de suas cartas para forçá-los a abrir o anexo e seguir outras instruções.
Os cidadãos canadenses receberam um boletim em nome de Mary, uma funcionária do centro médico. Na carta, “Maria” disse que, de acordo com as informações recebidas, o destinatário da carta estava em contato com um paciente com coronavírus, portanto, ele precisava preencher o questionário anexado o mais rápido possível e entrar em contato com o hospital mais próximo para testes:

imagem
Quando a vítima assustada abriu o anexo, ela foi solicitada a permitir a execução de macros, depois O que foi instalado no infostiller do computador, que coletou e enviou aos atacantes as credenciais armazenadas, informações sobre cartões bancários e carteiras criptográficas

A Itália, como um dos países líderes em termos de número de coronavírus infectados, foi atingida por atacantes. Registramos mais de 6.000 correspondências relacionadas ao tópico da pandemia.
Por exemplo, em uma dessas campanhas, foram enviadas cartas em italiano, nas quais o remetente, em nome da Organização Mundial da Saúde, sugeriu que o destinatário se familiarizasse imediatamente com as precauções contra coronavírus no documento em anexo:

imagem
ao abrir o documento, era solicitada permissão para executar macros e, se a vítima o desse, um Trojan foi instalado no computador

Muitas correspondências foram associadas à entrega ou adiamento devido à disseminação da doença. Por exemplo, em uma dessas cartas, supostamente enviadas do Japão, foi relatada uma demora na entrega e foi sugerido que você se familiarizasse com a agenda anexada no anexo:

imagem
Ao abrir o anexo do arquivo morto, um programa malicioso foi instalado no computador

Sites de fraude


Os cibercriminosos não apenas registraram domínios massivamente associados à pandemia, mas também os usaram ativamente para atividades fraudulentas.
Por exemplo, o site antivírus-covid19.site completamente anedótico sugeriu o download e a instalação do aplicativo Corona Antivirus no seu computador para proteção contra infecções.
Os autores não divulgaram o mecanismo de ação do “antivírus” e aqueles que, por algum motivo, baixaram e instalaram o programa, receberam uma surpresa desagradável na forma do backdoor BlactNET RAT instalado.Proprietários

imagem
de outros sites ofereceram aos visitantes o pedido de uma vacina gratuita contra o coronavírus, pagando apenas 4 , 95 dólares para entrega

O site coronaviruscovid19-information [.] Com / en convidou os visitantes a baixar um aplicativo móvel para criar um medicamento para o coronavírus. O aplicativo era um trojan bancário que rouba informações sobre cartões bancários e credenciais de sistemas bancários online.
E o site uk-covid-19-alivieve [.] Com imitou o design de sites governamentais no Reino Unido e, sob o pretexto de prestar ajuda às vítimas da pandemia de coronavírus, coletou dados pessoais e informações sobre cartões bancários.

Ameaças associadas


Os autores de muitas campanhas não escrevem uma palavra sobre o coronavírus, mas usam com sucesso a situação que surgiu em conexão com a pandemia. Esta categoria inclui, por exemplo, envio por SMS com um pedido de pagamento de uma multa por violar o regime de auto-isolamento:

imagem
Os autores da mensagem esperam que um dos destinatários tenha realmente violado o regime e atendam prontamente aos requisitos.Uma

quarentena introduzida universalmente levou muitas pessoas a trabalhar remotamente, como resultado do crescimento explosivo da popularidade dos aplicativos de videoconferência, que não foi retardado pelos cibercriminosos. Por exemplo, desde o início da pandemia do COVID-19, mais de 1.700 domínios maliciosos do Zoom foram registrados.

imagem
Alguns desses sites ofereceram a instalação de um cliente para um serviço popular, mas, em vez disso, as vítimas receberam o malware InstallCore, com o qual os invasores baixaram conjuntos adicionais de utilitários maliciosos em seus computadores.Muitos

serviços ofereceram assinaturas premium a todos por um período de pandemia e não foram retardados por essa generosidade Aproveite os golpistas.
A campanha começou enviando uma mensagem para o Facebook Messenger, oferecendo conexão com quarentena dentro de 2 meses para obter acesso gratuito ao Netflix Premium. Se o usuário estava conectado à conta do Facebook e seguiu o link, ele recebeu uma solicitação de acesso do aplicativo Netflix. Caso contrário, o usuário foi solicitado a fornecer credenciais para entrar na rede social e, após um login bem-sucedido, ele foi redirecionado para a página com a solicitação de permissão. Quando o usuário concordou em continuar, uma página fraudulenta com uma “oferta Netflix” e uma pesquisa que deve ser concluída para receber um presente foram abertas:

imagem

A pesquisa contém perguntas aleatórias e aceita qualquer resposta inserida pelo usuário. No final da pesquisa, o usuário é oferecido a compartilhar o site com vinte amigos ou cinco grupos para receber uma "assinatura premium"

Não importa em que botão o usuário clica no final da pesquisa, eles serão redirecionados para uma página que solicita acesso ao Facebook. Nesta etapa, é novamente proposto compartilhar um link malicioso com seus contatos.
Para facilitar esse processo, os fraudadores até criam uma postagem, para que a vítima que comprometeu suas credenciais possa apenas pressionar um botão para publicar.

Seja vigilante para se defender


Os criminosos usam ativamente o tema da pandemia em campanhas fraudulentas. Para combatê-los, as seguintes recomendações devem ser observadas:

  1. Não siga os links de remetentes desconhecidos e não os compartilhe com seus amigos,
  2. verificar a legitimidade da fonte de informação,
  3. verifique o URL do site que solicita informações,
  4. Não insira informações pessoais e de conta, nem informações de pagamento em sites não verificados.

Trend Micro Pandemia Posição


Entendemos que a situação está se desenvolvendo rapidamente, e novos dados chegam todos os dias; portanto, estamos constantemente atualizando nossas informações para, invariavelmente, fornecer os serviços da mais alta classe que os clientes, parceiros e fornecedores esperam de nós.

Para que a crise causada pelo vírus COVID-19 não afete a usabilidade dos produtos Trend Micro, cuidamos da segurança de nossos funcionários:

  • siga as instruções das autoridades locais em todos os países;
  • trabalhar remotamente;
  • movimento limitado;
  • Estamos vigilantes e usamos equipamentos de proteção.

Estamos otimistas em relação ao futuro e acreditamos que a difícil situação atual ajudará a introduzir novas maneiras de trabalhar em conjunto e outras inovações, que tornarão nossas vidas mais seguras.

More articles:


All Articles