Эксплуатация киберпреступниками темы COVID-19

Национальным центром реагирования на компьютерные инциденты Республики Беларусь (CERT.BY) ранее фиксировались и продолжают фиксироваться многочисленные случаи эксплуатации злоумышленниками темы коронавирусной пандемии (COVID-19) в национальным сегменте сети Интернет. Самый распространенный метод — рассылка фишинговых писем. Такие письма могут содержать различные предложения:

  • купить медицинские маски и перчатки
  • осуществить пожертвования на борьбу с пандемией
  • перейти по ссылке на интерактивную карту, отображающую текущую ситуацию с пандемией
  • открыть вредоносный файл или вложение

Подобная ситуация наблюдается по всему миру.

Так по информации Barracuda Networks, обеспечивающей сетевую безопасность более 220000 глобальных корпоративных клиентов, включая Министерство торговли США, Министерство обороны США, Министерство внутренней безопасности США, Министерство юстиции США, Министерство финансов США, а также ООН, начиная с февраля 2020 года количество связанных с коронавирусом фишинговых атак увеличилось на 667%, достигнув более 9000 атак только в марте. В период с 1 по 23 марта 2020 года Barracuda Networks обнаружила 467825 фишинговых атак электронной почты по всему миру, и 9116 из них были связанны с COVID-19, что составляет около 2% атак. Для сравнения, в феврале 2020 года было выявлено в общей сложности 1188 связанных с коронавирусами фишинг-атак, а в январе 2020 года — только 137 атак. Несмотря на то, что общее количество таких атак по-прежнему мало по сравнению с другими угрозами, темпы роста их числа быстро увеличиваются.

Анализ Barracuda Networks свидетельствует о том, что в ходе различных фишинговых кампаний используется фактор повышенного внимания к COVID-19 для распространения вредоносных программ, кражи учётных данных и выманивания денег у пользователей посредством мошеннических действий. В ходе таких атак реализуется обычная регулярно наблюдаемая фишинговая тактика. Вместе с тем, всё большее число фишинговых атак использует коронавирус как приманку, чтобы попытаться обмануть находящихся в подавленном состоянии пользователей, извлекая выгоду из страха и неуверенности предполагаемых жертв.

Различные общеизвестные вредоносные программы распространяются с помощью связанного с коронавирусом фишинга, в особенности — модульные варианты, которые позволяют злоумышленникам развертывать различные модули через одно и то же вредоносное программное обеспечение. Наибольшую популярность получили:

  • Emotet
  • LokiBot
  • AzorUlt
  • TrickBot

Злоумышленники также подделывают большое количество различных страниц входа в систему электронной почты, ориентируясь на порталы электронной почты, к которым привыкли пользователи. При этом злоумышленники взламывают информацию данного почтового сервера. Другие страницы входа являются более общими либо предлагают несколько вариантов для провайдера, подделывая страницу входа каждого провайдера. Злоумышленники просто подменяют существующую авторизацию для осуществления фишинга электронной почты, извлекая выгоду посредством использования фактора коронавируса.

Компания Google в свою очередь сообщила о том, что в период 13-19 апреля ежедневно обнаруживала 18 миллионов вредоносных и фишинговых писем, связанных с COVID-19. Это в дополнение к более чем 240 миллионам ежедневных спам-сообщений, связанных с COVID.

По информации сайта securitylab специалисты команды Cisco Talos сообщили об обнаружении новой вредоносной кампании против правительственных учреждений и промышленных предприятий Азербайджана, в ходе которой злоумышленники используют тему коронавируса с целью заражения сетей трояном для удаленного доступа (Remote Access Trojan (RAT)).

По данным исследователей, вредонос предназначен для атак на использующиеся в электроэнергетическом секторе SCADA-системы, в частности на ветротурбинные системы

Злоумышленники рассылают вредоносные документы Microsoft Word, загружающие на атакуемую систему написанный на Python ранее неизвестный троян PoetRAT. Свое название вредонос получил из-за многочисленных отсылок к сонетам Уильяма Шекспира.

PoetRAT оснащен всеми функциями, характерными для RAT. Он может похищать конфиденциальные документы, нажатия клавиш на клавиатуре, пароли и даже изображения с web-камер, а также предоставляет своим операторам полный контроль над скомпрометированной системой.

Как именно вредоносные документы Microsoft Word попадают на систему, неизвестно. Однако, поскольку они доступны для загрузки по обычной ссылке, исследователи предположили, что злоумышленники рассылают фишинговые письма или вредоносные URL.

Атаки начались в феврале нынешнего года, и с тех пор исследователи зафиксировали три волны. Некоторые поддельные документы были якобы от правительственных учреждений Азербайджана или от Организации оборонных исследований и разработок Индии. Некоторые файлы назывались C19.docx и не имели никакого содержимого.

Встроенный в документ макрос Visual Basic Script записывает вредоносное ПО на диск в виде архива smile.zip, состоящего из интерпретатора Python и самого трояна. Вредонос проверяет, не запущен ли он на виртуальной машине, и в случае выявления песочницы автоматически удаляется с системы.

В связи со всем вышеперечисленным рекомендуем придерживаться следующих правил:

  • Остерегайтесь любых электронных писем, пытающихся заставить Вас открывать вложения или переходить по ссылкам.
  • Обращайте внимание на письма, отправителями которых являются лица или организации, от которых Вы обычно не получаете письма
  • Будьте осторожны с электронными письмами организаций, с которыми вы регулярно общаетесь.

Также в условиях, когда многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, напоминаем Вам о небходимости соблюдения правил «цифровой гигиены».