Get best of the week

网络犯罪分子如何出于自己的目的使用冠状病毒大流行

备受关注的事件向来是欺诈活动的绝佳时机,从这个意义上讲,冠状病毒大流行并没有什么特别的。但是,尽管有相似之处,但仍然存在差异:对感染的普遍恐惧已使该疾病的名称成为提高攻击效力的有力因素。我们已经收集了与COVID-19相关的事件的统计数据,在这篇文章中,我们将分享最有趣的事件。

图片

根据我们的监控,在2020年第一季度,垃圾邮件是与冠状病毒相关的网络攻击的主要来源。从2月到3月,此类电子邮件的数量增加了220倍:

图片
与COVID-19相关的垃圾邮件数量

COVID广告系列中的另一个恶意区域是恶意软件站点。在第一季度,我们注册了大约5万个包含危险感染名称的恶意URL。从2月到3月,此类网站的数量增加了260%:

图片
与COVID-19

恶意软件开发人员相关的恶意URL数量没有减少。在第一季度,我们确定了700多种面向COVID

图片
的恶意软件:与COVID-19相关的恶意软件数量

袭击次数最多的是美国,但其他受感染国家也遭到袭击。

让我们更详细地考虑每个类别。让我们从恶意软件开始,因为在这里我们面临着一个相当奇怪的现象:一些勒索软件运营商表现出积极的公民身份,并宣布医疗机构不会攻击这种流行病。

恶意软件


从热门话题中获利的机会使许多退伍军人复活。例如,出现了宙斯狮身人面像银行木马的COVID品牌版本,为此发行版使用了密码保护的Microsoft Word文档,其名称为“ COVID 19救济”。

图片
如果用户打开附件,输入密码并包含宏,则Zeus Sphinx已安装在他的计算机上。来源(以下,除非另有说明):趋势科技

恶意软件操作员AZORult的原始行为是:他们创建了约翰霍普金斯大学网站的工作副本,并在域Corona-Virus-Map.com(现已禁用)上建立了冠状病毒的分布图。为了接收更多操作信息,要求访问者将应用程序下载到计算机上。

图片
同意在其设备上收到有关安装其他软件的假病毒传播站点的提议,将AZORult勒索软件

运营商分为两类:其中一些人宣布他们不会在大流行期间袭击医院,医院和医疗机构,而其他人则继续其恶意活动没有任何限制。
CLOP勒索软件,DoppelPaymer勒索软件,Maze勒索软件和Nefilim勒索软件签约了Noble Pirates俱乐部,而Netwalker表示他们并没有特别选择医院,但是如果他们中的任何一个发现文件被加密,则要支付赎金。
Ryuk和其他勒索软件的运营商没有发表任何声明,而只是继续进行攻击。

图片
尽管大流行的

CovidLock Mobile勒索软件通过apk文件通过其自己的网站分发,以避免被官方应用程序商店阻止,但用户确认 Ryuk 仍在继续工作

图片
要创建的可靠性和质量,从游戏市场上使用的评价图像CovidLock作者,以及世界卫生组织和疾病预防控制中心和预防的标识错觉。

该恶意软件作者说,该应用程序允许您的街道冠状病毒爆发”的实时跟踪,在城市和国家»在100多个国家/地区。

Oski恶意软件infosyler的作者使用原始的方式分发其应用程序:
•扫描了Internet以查找易受攻击的家用路由器D-Link和Linksys,
•使用漏洞,他们可以访问管理并将DNS服务器的设置更改为自己的:

图片
当连接到路由器的用户在浏览器中输入任何地址时,他们将被重定向到欺诈站点,该站点代表世卫组织建议下载并安装COVID-19 Inform应用程序。安装“ informer”的用户改为收到了Oski infostiller

邮件列表


许多邮件的作者都害怕甚至勒索收件人的信件,以迫使他们打开附件并遵循其他说明。
加拿大公民代表医疗中心的雇员玛丽收到时事通讯。玛丽亚在信中说,根据收到的信息,信的接收人正在与一名冠状病毒患者联系,因此他需要尽快填写所附表格并联系最近的医院进行测试:

图片
受惊的受害者打开附件后,被要求允许她执行宏,之后您为什么安装一个信息提要,该提要会收集保存的凭据并将有关银行卡和加密钱包的信息发送给攻击者

就冠状病毒感染数量而言,意大利是领先的国家之一,遭到袭击者的打击。我们已经记录了与大流行病相关的6,000多封邮件。
例如,在其中一项运动中,以意大利语发送了一封信,其中发件人代表世界卫生组织建议收件人立即熟悉所附文档中的冠状病毒预防措施:

图片
打开文档时,要求执行宏的权限,并且如果受害者给了它,在计算机上安装了木马

由于该病的传播,许多邮件与投递或推迟有关。例如,在据称是从日本寄来的一封信中,报告了交货延迟,并建议您熟悉附件中的附表:打开存档中的附件

图片
时,计算机上安装了恶意程序

欺诈网站


网络罪犯不仅大量注册与该流行病相关的域名,而且还积极地将其用于欺诈活动。
例如,完整的轶事站点antivirus-covid19.site建议在您的计算机上下载并安装Corona Antivirus应用程序,以防止受到感染。
作者没有透露“防病毒”的作用机制,但由于某些原因而下载并安装了该程序的人,以安装的BlactNET RAT后门的形式收到了令人不快的惊喜,其他网站的所有者则向访客提供了订购免费的冠状病毒疫苗的权利,仅支付了4欧元。

图片
,交付95美元

该网站coronaviruscovid19-information [。] Com / en邀请访问者下载用于创建冠状病毒药物的移动应用程序。该应用程序是一个银行木马,窃取了有关银行卡和在线银行系统凭据的信息。
uk-covid-19-relieve [。]网站模仿了英国政府网站的设计,并且以向冠状病毒大流行受害者提供援助的幌子收集了个人数据和有关银行卡的信息。

相关威胁


许多运动的作者都没有写过有关冠状病毒的文字,但他们成功地利用了与大流行有关的情况。例如,此类邮件包括SMS邮件,并要求其因违反自我隔离制度而被罚款:

图片
邮件的作者希望其中一个收件人确实违反了该

隔离制度,并会很容易地满足要求。普遍采用的隔离措施已导致许多人工作从远程来看,视频会议应用程序的普及呈爆炸性增长,但网络欺诈者并没有因此而放慢脚步。例如,自从COVID-19大流行开始以来,已经注册了1,700多个恶意Zoom域。

图片
这些站点中的某些站点提供安装流行服务客户端的功能,但受害者却收到了InstallCore恶意软件,而攻击者利用InstallCore恶意软件将额外的恶意工具集下载到其计算机上,

许多服务在大流行期间为每个人提供了高级订阅,因此,这种慷慨性并没有减慢它们的速度。利用骗子。
该活动首先向Facebook Messenger发送消息,并在两个月内提供隔离服务,以免费访问Netflix Premium。如果用户已登录Facebook帐户并点击了链接,则他会收到来自Netflix应用程序的访问请求。否则,将要求用户提供凭据以进入社交网络,并在成功登录后,将其重定向到具有权限请求的页面。当用户同意继续时,将打开一个带有“ Netflix报价”和必须完成才能收到礼物的调查的欺诈页面:

图片

该调查包含随机问题,并接受用户输入的任何答案。在调查结束时,将向用户提供与20个朋友或五个组共享该站点的权限,以便接收“高级订阅”

。无论用户在调查结束时单击什么按钮,他们都将被重定向到一个请求访问Facebook的页面。在此步骤中,再次建议与您的联系人共享恶意链接。
为了简化此过程,欺诈者甚至创建了一个帖子,因此破坏其凭据的受害者只能按一个按钮即可发布。

保持警惕


犯罪分子在欺诈活动中积极使用大流行主题。为了解决这些问题,必须遵循以下建议:

  1. 不要点击陌生发件人的链接,也不要与朋友分享,
  2. 检查信息来源的合法性,
  3. 检查询问您任何信息的网站的网址,
  4. 请勿在未经验证的网站上输入个人和帐户信息以及付款信息。

大流行趋势微头寸


我们知道情况正在迅速发展,每天都有新数据到来,因此我们不断更新信息,以便始终如一地提供客户,合作伙伴和供应商期望我们提供的最优质的服务。

因此,由COVID-19病毒引起的危机不会影响趋势科技产品的可用性,因此,我们会确保员工的安全:

  • 遵守所有国家/地区地方当局的指示;
  • 远程工作;
  • 运动受限;
  • 我们保持警惕并使用防护装备。

我们对未来充满信心,并相信当前的困难局面将有助于引入新的合作方式和其他创新,最终将使我们的生活更安全。

More articles:


All Articles