COVID-19 cyberattacks

beheer Geen categorie 23 april 2020 | 0

Google maakt bekend, dat het vorige week dagelijks gemiddeld meer dan 240 miljoen aan covid-19 gerelateerde spamberichten en daarbovenop 18 miljoen dagelijkse malware- en phishingmails rond het virus en de ziekte heeft geblokkeerd

Dagelijks zien wij in onze Panda Security beheer console, dat bij onze klanten, dergelijke bedreigingen geblocked worden door de protectie software, die niet door de browsers worden herkend. Daarom is het nuttig om dit nader te bestuderen.

Cyberattack-campagnes die gebruik maken van COVID-19 met een wereldwijde impact

COVID-19 wordt gebruikt in malafide social engineering campagnes, waaronder spam, malware, ransomware en kwaadaardige websites/domains. Aangezien dit thema nog steeds actueel is en het aantal gevallen met duizenden blijft groeien, blijven ook malafide campagnes die de ziekte als lokmiddel gebruiken ook groeien. Onderzoekers van Panda zoeken periodiek naar voorbeelden van kwaadaardige coronavirus-gerelateerde campagne.

Coronavirus gerelateerde spam

Onderzoekers van Panda hebben Coronavirus-gerelateerde spam e-mails ontdekt die over de hele wereld zijn verstuurd en ontvangen, inclusief landen als de Verenigde Staten, Japan, Rusland en China. Veel van deze e-mails. Deze zijn zogenaamd van officiële organisaties die beweren dat ze updates en aanbevelingen bevatten met betrekking tot de ziekte. Zoals de meeste spamcampagnes bevatten deze kwaadaardige bijlagen. Een voorbeeld hiervan is een spamcampagne met als onderwerp“Corona Virus Latest Updates”, zogenaamd verstuurd door het Ministerie van Volksgezondheid. Het bevat aanbevelingen over hoe besmetting te voorkomen en komt met een bijlage die zogenaamd de laatste updates over COVID-19 bevat. Het bevat echter malware.

Andere e-mails die in deze campagnes worden gebruikt, hebben vooral betrekking op productleveringen, die door de verspreiding van de ziekte zouden zijn vertraagd of gewijzigd.

De volgende e-mail in het Italiaans verwijst naar belangrijke informatie over het virus:

De volgende e-mail in het Portugees belooft nieuws over een verondersteld vaccin voor COVID-19.:

Er zijn gevallen geweest van Spam e-mails die een remedie voor coronavirus in het onderwerp vermeldden, waarbij dit werd gebruikt om te proberen mensen de kwaadaardige bijlage
te laten downloaden. Deze kwaadaardige bijlage is soms HawkEye Reborn bijgevoegd, een variant van de HawkEye Trojan, die informatie steelt.

Een andere spamcampagne is gericht op gebruikers in Italië, een land dat zwaar getroffen is door de pandemie. Deze campagne is getiteld”Coronavirus: belangrijke informatie over voorzorgsmaatregelen”. In de tekst van de e-mail beweert de afzender dat de bijlage een document is van de Wereldgezondheidsorganisatie (WHO) en raadt hij de lezers ten zeerste aan om de gecompromitteerde Microsoft Word-bijlage te downloaden. Het kwaadaardige bestand bevat een Trojaans paard.

Wanneer het document wordt geopend, wordt het volgende bericht weergegeven, waarin gebruikers worden gevraagd om macro’s in te schakelen:

Malware & CoronaVirus Ransomware

Dankzij onze 100% attestatiedienst is het het Panda-Lab gelukt om de volgende kwaadaardige executables met betrekking tot deze campagnes te identificeren en te blokkeren:

Bestands naam:

CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm

CoronaVirusSafetyMeasures_pdf.exe

LIST OF CORONA VIRUS VICTIM.exe

POEA HEALTH ADVISORY re-2020 Novel Corona Virus.pdf.exe

POEA Advisories re-2020 Novel Corona Virus.2.pdf.exe

Andere onderzoekers hebben gezien dat cybercriminelen gebruik maken van online coronavirusmonitoringkaarten en deze vervangen door nep-websites die het downloaden en installeren van malware vergemakkelijken.

Een nieuwe variant van CoronaVirus ransomware maakte gebruik van een nepsite voor systeemoptimalisatie om zich te verspreiden. Slachtoffers downloaden onbewust het bestand WSGSetup.exe van de nepsite. Dit bestand fungeert als een downloader voor twee soorten malware: De CoronaVirus ransomware en de wachtwoord stelende Trojaanse Kpot.

Deze campagne maakt deel uit van een recente trend in ransomware: het combineert dataversleuteling met informatiediefstal.

Bovendien is er nog een andere ransomware, dit keer met betrekking tot mobiele gebruikers, genaamd CovidLock, gesignaleerd. Deze ransomware komt van een kwaadaardige Android- app die zogenaamd helpt bij het opsporen van COVID-19 gevallen. De ransomware blokkeert de mobiele telefoons van zijn slachtoffers, waardoor ze 48 uur lang $100 in bitcoins kunnen betalen om weer toegang te krijgen tot hun telefoons. Bedreigingen zijn onder andere het verwijderen van alle gegevens op de telefoon en het lekken van details uit hun social media accounts.

Domeinen met betrekking tot het Coronavirus

Er is ook een opmerkelijke toename van het aantal domeinnamen die het woord‘corona’ gebruiken. Hieronder zetten we enkele van de kwaadaardige domeinen op een rijtje:

acccorona [.] com
alphacoronavirusvaccine [.] com
anticoronaproducts [.] com
beatingcorona [.] com
beatingcoronavirus [.] com
bestcorona [.] com
betacoronavirusvaccine [.] com
buycoronavirusfacemasks [.] com
byebyecoronavirus [.] com
cdc-coronavirus [.] com
combatcorona [.] com

contra-coronavirus [.] com
corona-blindado [.] com
corona-crisis [.] com
corona-emergencia [.] com
corona explicada [.] com
corona-iran [.] com
corona-ratgeber [.] com
coronadatabase [.] com
coronadeathpool [.] com
coronadetect [.] com
coronadetection [.] com

Hoe deze aanvallen werken

Feit is dat al deze aanvallen gebruik maken van ingangsvectoren die kunnen worden beschouwd als”traditioneel”. Bij Panda hebben we deze vectoren gedekt met onze Panda Endpoint Solutions. In deze gevallen zijn de mechanismen die worden gebruikt om de bedreigingen op te sporen en te blokkeren de volgend:

Deze dienst classificeert elke binary, zodat deze alleen kan worden uitgevoerd als deze wordt geverifieerd door ons cloud-gebaseerde kunstmatige intelligentiesysteem, de beheerde 100%-verklaringsservice
Technologieën voor eindpoint detection, met name de detectie van Indicators of Attack (IoA) op basis van gedrag en context.

Van wat we in onze laboratoria zien, is de meest voorkomende aanvalscyclus e-mail/spam met behulp van social engineering-technologieën. Deze e-mails bevatten een dropper die hier een binary downloadt:

C:\Users\user\AppData\Local\Temp\qeSw.exe with the hash 258ED03A6E4D9012F8102C635A5E3DCD. In Panda’s solutions, the detection for the dropper is a Trj/GdSda.A.

Deze binaire codeert de machine (proces: vssadmin.exe) en verwijdert de schaduwkopieën door het proces conhost.exe te starten.

Hoe u zich kunt verdedigen tegen deze en andere cyberbedreigingen

Dankzij de 100%-attestendienst, die alle binaire bestanden classificeert voordat ze kunnen worden uitgevoerd, en alle kwaadaardige binaire bestanden blokkeert, zijn de geavanceerde endpointoplossingen van Panda ongetwijfeld van grote waarde voor het stoppen van deze en vele andere campagnes.

Met deze service maakt een zeer efficiënt en autonoom mechanisme het mogelijk malware en ransomware op te sporen en te blokkeren, zelfs voordat deze kunnen worden uitgevoerd. Ongeacht of het gaat om nieuwe varianten of nieuwe downloaddomeinen, zoals het geval is bij de malwarevarianten met betrekking tot COVID-19.

Gedrags- en contextuele aanvalsindicatoren detecteren en blokkeren ongewoon gedrag op beschermde apparaten. Deze gedragingen kunnen bestaan uit het downloaden van een uitvoerbaar bestand vanuit Word of het openen van een onbekende of kwaadaardige URL. Elke poging om het apparaat te compromitteren wordt onmiddellijk geblokkeerd en de uitvoering en verbinding van deze kwaadaardige activiteiten wordt stopgezet.

Krijgt u fake mail van uw bank binnen; meld het dan op: https://www.fraudehelpdesk.nl/actueel/valse-emails/

Bron: Panda Security.