🅰️ 🏇🏻 🏫 使用COVID-19的网络攻击 🎛️ 😱 🧖🏼

冠状病毒大流行COVID-19在使用社交工程技术（包括垃圾邮件，恶意软件，加密和恶意域）的恶意活动中被用作诱饵。随着感染数量成千上万的增加，相应的恶意活动也越来越流行。专家们一直在寻找与冠状病毒相关的此类恶意活动的新实例。

不明飞行物护理分钟

COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .

C
C
()

, .

, , .

: |

冠状病毒垃圾邮件PandaLabs

专家发现，发送和接收与冠状病毒相关的垃圾邮件几乎遍布全球，包括美国，日本，俄罗斯和中国等国家。这些信件中的许多，看起来像是从官方组织寄出的，都指出它们包含有关大流行的最新信息和建议。与大多数垃圾邮件活动一样，它们也包含恶意附件。

一个示例是垃圾邮件，其中包含Corona Virus Latest Updates主题行，据称是卫生部发送的。它包含有关如何预防感染的建议，并且该信件包含一个附件，据说该附件包含有关冠状病毒COVID-19的更新信息。实际上，它包含恶意软件。

有关冠状病毒的其他垃圾邮件消息与受感染传播干扰的食品供应有关。

以下意大利垃圾邮件样本包含有关冠状病毒的重要信息：

葡萄牙语的这封信向您提供有关
拟议的抗COVID-19疫苗的新信息。

在某些情况下，垃圾邮件中提到了抗冠状病毒药物，目的是诱使人们下载恶意附件。有时，此类恶意附件是HawkEye Reborn，它是HawkEye Trojan的一种变种，可以窃取信息。

指标妥协的恶意附件的

SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be

在这种情况下，各项指标均受到影响：

SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

另一个垃圾邮件活动针对意大利的用户，该国受到大流行的严重打击。信件的主题和正文包含“冠状病毒：有关预防措施的重要信息”。信函正文指出，信函中的附件是世界卫生组织（WHO）的文档，因此强烈建议您下载此附件Microsoft Word文档，其中包含特洛伊木马。

当用户打开此文档时，将显示以下消息，迫使用户启用宏：

危害指示器（IOC）

SHA-256
dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2

恶意软件的编码器和相关的冠状病毒

服务100％分类防病毒实验室PandaLabs的能够识别并阻止与这些活动相关的这些恶意可执行文件：

冠状病毒影响和机组VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56fb82d7e333454e923冠状

病毒列表
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd

其他研究人员已经看到了网络犯罪分子如何利用在线监测卡冠状病毒病，替换它们feykovye从中下载并安装恶意软件的网站。下面是恶意应用程序的哈希值：

2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

勒索软件CoronaVirus 的新版本用于分发虚假站点以优化系统。受害者不知不觉从该站点下载了WSGSetup.exe文件。然后，此文件用作两种类型的恶意软件的下载器：CoronaVirus勒索软件和Trojan Kpot密码窃取程序。

此活动是密码学家最新趋势的一部分：它将数据加密与信息盗窃结合在一起。

此外，还发现了另一个名为CovidLoc的勒索软件。k，现在影响移动用户。该勒索软件来自恶意的Android应用程序，该应用程序有助于跟踪COVID-19感染。

勒索软件封锁了受害者的手机，使他仅48小时就可以支付100美元的比特币赎金，以恢复对他设备的访问。否则，受害者会受到威胁要从手机中删除所有数据，并在社交网络上窃取其帐户的数据。

冠状病毒相关域

此外，在名称中使用“ Corona”一词的域名数量已显着增加。下面我们列出了以下恶意域：

acccorona [。] com
alphacoronavirusvaccine [。] com
anticoronaproducts [。] com
beatingcorona [。] com
搏动冠状病毒[。] com
bestcorona [。] com
betacoronavirusvaccine [.] com
buycoronavirusfacemasks [.] com
byebyecoronavirus [.] com
cdc-coronavirus [.] com
combatcorona [.] com
contra-coronavirus [.] com
corona-blindado [.] com
corona-crisis [.] com
corona-emergencia [.] com
corona explicada [.] com
corona-iran [.] com
corona-ratgeber [.] com
coronadatabase [.] com
coronadeathpool [.] com
coronadetect [.] com
coronadetection [.] com

这些攻击如何工作

事实是，所有这些攻击都使用渗透向量，可以将其视为“传统”。传统的防病毒解决方案可以关闭所有这些媒介，以保护终端设备。在这种情况下，PandaLabs使用以下机制来检测和阻止威胁：

• 100％分类服务，该服务对每个二进制文件进行分类，并且仅允许由具有人工智能的云系统检查的对象
•EDR技术，尤其是指标检测系统通过行为和上下文进行的攻击（IoA）。

从我们的角度来看，最常见的攻击示例是使用社交工程技术的垃圾邮件。这样的字母包含一个在这里加载二进制文件的

删除程序
：C：\ Users \ user \ AppData \ Local \ Temp \ qeSw.exe 哈希：258ED03A6E4D9012F8102C635A5E3DCD 熊猫

解决方案将删除程序检测为Trj / GdSda.A 这个二进制文件对计算机进行加密（过程：vssadmin。 exe）并使用conhost.exe进程删除卷影副本。IoC的官方来源西班牙国家密码中心在哈希，IP地址和域级别上有详尽的危害指标（IoC）列表：www.ccn.cni.es/index.php/en。

可在此处获取信息：
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

如何保护自己免受这些和其他网络威胁

的影响100％分类服务可在启动所有二进制文件之前对其进行分类，并阻止任何恶意二进制文件的启动文件，具有高级保护选项的端点保护解决方案在阻止恶意活动（如许多其他活动）方面非常有效。

该服务使用高效的机制在恶意软件和勒索软件启动之前对其进行检测和删除，而不管它们是新的威胁选项还是新的恶意域，与COVID-19关联的恶意对象一样。

行为和情境攻击指标（IoA）检测并阻止受保护设备上异常行为的模式：例如，从Word下载可执行文件或尝试访问未知或恶意的URL。任何危害设备的尝试都将立即被阻止，并且将停止执行恶意操作和与恶意域的连接。

使用COVID-19的网络攻击

不明飞行物护理分钟

冠状病毒相关域

More articles: