Журнал ПЛАС » Новости » Безопасность » 155 просмотров

Group-IB рассказала, как кибермошенники используют COVID-19

Group-IB рассказала, как кибермошенники используют COVID-19

Group-IB назвала самые популярные вредоносные программы, которые злоумышленники используют в своих фишинговых рассылках на тему COVID-19. Почти 65% перехваченных вредоносных рассылок несли «на борту» программы-шпионы (spyware), а ТОП-3 наиболее активно эксплуатируемых шпионских программ возглавил троян AgentTesla.
 Между тем, в андеграунде мнение об эксплуатации актуальной повестки разделились: часть стремится заработать на теме COVID-19, предлагая промо-акции на свои услуги, а другие представители даркнета осуждают подобные кампании.
Шпион, выйди вон
В период с 13 февраля по 1 апреля специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB) проанализировали сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19.
Перехваченные системой предотвращения сложных киберугроз Threat Detection System (TDS) фишинговые письма содержали во вложении различные типы шпионского ПО. Сами популярными оказались программы-шпионы — 65%, второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%. Что касается шпионского ПО, то наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%).
Программы-шпионы опасны не только тем, что способны собирать данные о системе и зараженном компьютере, загружать и запускать файлы, делать скриншоты, записывать нажатие клавиш на клавиатуре, но и могут похищать данные пользователей: логины, пароли из браузеров, почтовых и FTP-клиентов, а также данные банковских карт.
Сами фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также и крупных российских и международных компаний. Рассылки были направлены как в коммерческий, тпак и в государственный секторы  России и СНГ. Вот несколько примеров:
16 марта CERT-GIB зафиксировал новую вредоносную рассылку якобы от лица сотрудницы UNICEF — международной организации, действующей под эгидой ООН. Получателю предлагали загрузить приложение, чтобы получать обновления о ситуации с COVID-19 и рекомендации, как защитить своих сотрудников от этого вируса. К фейковому письму прилагался архив, который содержал Netwire —  троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.
27 и 28 марта CERT-GIB зафиксировал две волны рассылки шпионской программы HawkEye с темой Free face Mask. Письмо было отправлено якобы от менеджера китайской компании — GALAXY ELECTRONIC INDUSTRIAL, а получателями были российские компании, в том числе из сферы энергетики.  В письме говорились, что китайская компания якобы запустила завод по производству защитных масок — есть идея запустить совместный бизнес, нужно посмотреть сертификацию товара во вложении. Внутри находится RAR-архив Mask 2020.rar с вредоносным исполняемым файлом Mask 2020.exe и шпионской программой из семейства HawkEye (aka HawkSpy).
27 марта CERT-GIB зафиксировал две рассылки вируса-шифровальщика по российским нефтегазовым компаниям —  в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании “Аптека.ру”, содержали презентацию  “лучших средств профилактики по доступной цене” под заголовком “Дарим “вакцину” от коронавируса!”. Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora.
Форумы подогревают спрос
Несмотря на то, что процент фишинговых писем, паразитирующих на теме COVID-19, невысок и составил за исследуемый период порядка 5% во всем вредоносном трафике, злоумышленники на хакерских форумах стремятся использовать панические настроения, чтобы поднять свои продажи вредоносных программ.
Например, с февраля на андеграундном форуме продается Java-загрузчик, замаскированный под интерактивную карту распространения COVID-19. Основным путем заражения является обычная фишинговая рассылка, и она, как уверяет продавец, обходит защиту Gmail благодаря использованию легитимных расширений файлов. После заражения пользователю открывается карта с актуальными данными ВОЗ и Университета Джона Хопкинса, а параллельно загружается любая полезная нагрузка, например, вредоносная программа для кражи данных. Позже — в  марте – исследователи фиксировали такие рассылки со стилером AZORult.
Кроме того, команда Group-IB Threat Hunting Intelligence зафиксировала более 500 объявлений на андеграундных площадках со скидками и промокодами на период пандемии на услуги DDoD, спам-рассылок и т.д.
Впрочем, не все представители андеграунда пытаются заработать на новостной повестке, связанной с пандемией. Часть из них осуждают эксплуатацию коронавирусной тематики во вредоносных кампаниях:
«Удаленка» повышает риски
В связи с тем, что многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, эксперты Group-IB прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети.
«Поскольку домашняя сеть не защищена ИБ-отделом вашей компании, злоумышленники могут атаковать в первую очередь именно пользователей на “удаленке”, чтобы добраться до инфраструктуры компании, — считает Александр Калинин, глава CERT-GIB.  — В группе риска — сотрудники финансовых учреждений, телеком-операторов и IT-компаний, а целью кибератак станет не только кража денег или персональных данных, но проникновение в корпоративную инфраструктуру через личный компьютер жертвы.Чтобы поддержать миллионы людей, которым теперь приходится работать из дома, и  ИБ-команды, которым поручено создать безопасные условия удаленной работы, Group-IB запустила кампанию StayCyberSafe with Group-IB, где пользователи могут найти рекомендации по организации безопасного удаленного рабочего места».
По материалам Group-IB
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных