接上文《新冠疫情下的网络威胁:COVID-19衍生的恶意活动(上)》
恶意社交媒体消息传递
趋势科技研究部调查了通过Facebook Messenger在线传播的欺诈和网络钓鱼策略。以下是以承诺两个月免费优质Netflix订阅为诱饵的消息示例:
捕获的短信骗局图像
通过Facebook Messenger发送的URL为短URL形式,即hxxps:// bit [.] ly / 34phlJE,然后重定向到两个可能的页面。下面详细介绍了这些方案:
第一种方案:
如果用户已经登录到其Facebook帐户,它将继续并重定向到伪造的Netflix页面(如下所示)。
欺诈性的Netflix页面
该页面捕获受害者的Facebook登录凭据,并在Facebook中创建名为“ NeTflix”的应用程序的有效订阅。该应用只是用户已受到威胁的指示器。如果用户已经订阅了该伪造的应用程序,然后再次单击该恶意链接,则他们将被重定向到第二页,下一节将对此进行详细介绍。
再次单击链接的订户将被重定向到此页面
第二种情况:
这是第二种可能性。未登录Facebook帐户的用户将被重定向到Facebook登录页面。
重定向到Facebook登录页面
如果用户输入其帐户凭据,它将重定向到第一种情况中显示的欺诈页面。如果用户单击“不是现在”按钮,它将重定向到伪造的Netflix页面,如下所示。该页面包含一个虚假的Netflix报价和右侧的调查,其中包含有关COVID-19和清洁习惯的问题。骗子使用免费的,新创建的与Netflix无关的域名。
假Netflix报价
敦促受害者分发
在调查结束时,它将要求用户共享或邀请20个朋友或五个组完成调查,然后用户才能继续并接收其假冒的免费Netflix订阅(图6)。该调查包含随机问题,并接受用户键入的任何答案。使用户可以顺利继续进行下一步。
不管用户在调查结束时点击“发送”或“继续”按钮,它都会将用户重定向到同一页面-Facebook共享提示。在下一步中,再次敦促用户通过单击Facebook联系人的“共享”按钮来传播恶意链接。然后,将提示用户登录Facebook。
用户被要求登录Facebook
输入他们的Facebook登录凭据的用户将被带到自动生成的帖子。单击“发布”按钮将在用户的Facebook页面上发布有关恶意链接的状态。
将要求用户在其Facebook页面上发布链接
这两种情况表明,无论用户已经登录还是拒绝提供其凭据,都将被迫共享欺诈性链接。以下URL被识别为恶意URL,并已被趋势科技阻止:
- hxxp:// bit [.] ly / 3ec3SsW-flixx.xyz
- hxxp:// bit [.] ly / 2x0fzlU-smoothdrive.xyz
- hxxp:// bit [.] ly / 39ZIS5F-flixa.xyz
以下是帮助用户避免此类攻击的建议:
- 不要单击来自未知发件人的链接或共享文件。
- 检查共享的信息是否来自合法来源。
- 检查询问您信息的网站的URL。
- 请勿将个人信息或凭据提供给未经验证的网站。
由于世界各地的人们都在家里办公,因此大多数用户都容易受到上述简单攻击的攻击。社交媒体在获得最新信息方面发挥着至关重要的作用,但同时也可以用于网络攻击。每个人都应努力保持安全,不仅要免受大流行的威胁,还应免受数字威胁。
恶意软件
Brian Krebs揭示一个交互式的COVID-19地图被用来传播窃取信息的恶意软件,该地图由约翰·霍普金斯大学(Johns Hopkins University)创建,是一个交互式仪表板,显示感染和死亡情况。俄罗斯地下论坛的几名成员利用了这一优势,并出售了数字COVID-19感染工具包,该工具包部署了基于Java的恶意软件。引诱受害者打开地图,甚至分享地图。
此外,趋势科技研究部还分析了以冠状病毒为主题的Winlocker,该软件可将用户锁定在受影响的计算机之外。执行后,该恶意软件会丢弃文件并修改系统注册表。然后,它会显示一条消息,通过Windows播放恐怖的声音,并要求输入密码才能解锁机器。根据此视频示例,勒索软件变种似乎是2019年的一个修改和重新利用的恶意软件。截止到撰写本文时,还没有在野看到这种恶意软件。
执行后,恶意软件会丢弃大量文件;并创建以下文件的副本:
- C:\ wh \ speakh.vbs
- C:\ wh \ antiwh.vbs
- C:\ wh \ diex.bat
- C:\ awh \ anti-exe
删除文件列表
它还修改注册表项。修改后的注册表项将为以下组件创建自动运行项:
- C:\ wh \ speakh.vbs
- C:\ wh \ antiwh.vbs
- C:\ wh \ diex.bat
然后,它会禁用某些基本功能的资源管理器策略,使受影响的Windows系统几乎无法导航。它修改了法律声明的标题,如下:
修改通知
欢迎消息后,受影响的计算机的壁纸将替换为“冠状病毒”图像。屏幕上还显示一个框,通知用户机器已被锁定,并且文件恢复需要解密代码。
该屏幕来自放置的文件antiwh.vbs,该文件在系统启动时执行。根据分析的恶意软件脚本,加载explorer.exe所需的正确代码是“ vb”。
锁屏图像
每次启动时都会执行另一个脚本(C:\ wh \ antiwh.vbs),以利用Windows语音功能在循环播放说“coronavirus”。
Windows语音功能用于循环“冠状病毒”
文件C:\ wh \ diex.bat在启动时终止explorer.exe。对其他已删除的二进制文件(“ C:\ awh \ anti-exe”)的进一步分析表明,它是此恶意软件的受密码保护的解锁器。执行后,它要求输入密码。我们尝试使用与先前脚本相同的密码“ vb”。
受密码保护的解锁器安装程序
成功安装后,解锁器将删除以下文件:
解锁器安装的文件
根据maurag.reg的内容,它还原注册表项以使系统再次可用。文件“ boom.bat”将删除放置在c:\ wh \中的文件,并显示以下消息:
恶意软件注意事项
商业电子邮件泄露(BEC)
Agari网络情报部(ACID)报告了一次涉及COVID-19的商业电子邮件泄露(BEC)攻击。这次攻击是早期BEC活动的延续,来自Ancient Tortoise,这是过去多个BEC案件背后的网络犯罪组织。
威胁行为者首先将应收账款作为转发账龄报告(应收账款报告)。然后,他们冒充合法公司,利用这些报告中的客户信息发送电子邮件,告知客户由于COVID-19导致银行和付款方式发生变化。
勒索软件
据MalwareHunterTeam报告,一个名为CoronaVirus的新勒索软件变种通过伪造的Wise Cleaner网站传播,该网站据称可以促进系统优化。受害者在不知不觉中从假网站下载文件WSGSetup.exe。上述文件充当两种恶意软件的下载程序:CoronaVirus勒索软件和名为Kpot的窃取密码木马。该活动紧跟最近勒索软件攻击的趋势,这种攻击不仅限于加密数据,还包括窃取信息。
另一个事件是由勒索软件引起的攻击袭击了捷克共和国布尔诺的一家大学医院,该医院是COVID-19测试中心。由于袭击,该医院的计算机系统已关闭,从而延迟了COVID-19测试结果的发布。
根据来自Bleeping Computer的报道,威胁参与者还发起了新的网络钓鱼活动,传播Netwalker勒索软件。活动使用名为“CORONAVIRUS.COVID-19.vbs”的附件,其中包含嵌入式Netwalker勒索软件可执行文件。
执行脚本后,EXE文件将保存到%Temp%\ qeSw.exe。启动此文件将导致计算机上其他文件的加密。然后,受害者会找到一张赎金通知单,上面有如何通过Tor支付网站支付赎金的说明。
移动威胁
一个名为CovidLock的移动勒索软件是来自一个恶意的Android应用程序,据说它可以帮助追踪COVID-19的情况。勒索软件会锁定受害者的手机,受害者可以在48小时内支付100美元的比特币,重新获得手机访问权。否则威胁将删除包括手机中存储的数据和泄露社交媒体账户的详细信息。查看他们的加密货币钱包可以发现,一些受害者已经在3月20日支付了赎金。截止撰写本报告时,最终余额为0.00018096 BTC。
也有报告称恶意Android应用程序为担心COVID-19的目标提供了安全面具。不幸的是,恶意应用程序实际上提供了一个SMSTrojan,它可以收集受害者的联系人列表并发送SMS消息以进行自我传播。到目前为止,该应用程序似乎处于开发的早期阶段,只是在试图传播尽可能多的用户。
浏览器应用
据消息,一个新的网络攻击传播伪造的COVID-19信息应用程序,该应用程序据称来自世界卫生组织(WHO)。Bleeping Computer报告说,该活动涉及黑客入侵D-Link或Linksys路由器中的路由器的域名系统(DNS)设置,以提示Web浏览器显示来自所述应用程序的警报。
用户反应说,他们的浏览器会在没有提示的情况下自动打开,然后只显示一条消息,要求他们点击一个按钮下载一个“ COVID-19 Inform App”。点击该按钮将下载并在设备上安装Oski信息窃取程序。该恶意软件变种可以窃取浏览器Cookie,浏览器历史记录,浏览器付款信息,已保存的登录凭据,加密货币钱包等。
色情骗局
Sophos报告的一项性交易计划要求获得4,000美元的比特币,否则,他们威胁要用COVID-19感染受害者的家人。受害者会收到电子邮件,通知他们威胁攻击者知道他们的所有密码,行踪以及与个人活动有关的其他详细信息。电子邮件发件人威胁说,如果受害者没有在24小时内付款,他们将公布这些数据。不过,没有确切的证据表明,攻击者实际上是否有权访问数据。
趋势科技研究公司(Trend Micro Research)发现了一个类似的安全公司Sophos的勒索骗局。如果没有满足他们的要求,网络犯罪分子将会给受害者传播COVID-19。
下图显示了骗子使用恐吓手段来操纵用户。黑客声称,他们已经以某种方式渗透到用户的系统中,并且可以从用户自己的帐户发送电子邮件。实际上,垃圾邮件的发件人与电子邮件的收件人相同,因此,如果目标回复邮件,他们将再次收到相同的电子邮件。这使人们误认为或更加担心黑客已经以某种方式侵入他们的系统,并掌握了他们行踪的个人信息。然后,黑客要求赔偿500美元,否则他会将传播病毒。
COVID-19被勒索
地下论坛的现状
地下论坛和网络犯罪市场的运作方式与合法销售场所的运作方式相同:供应商关注国际新闻和市场,并通过满足市场需求来获利。
一个受欢迎的地下论坛创建了有限的冠状病毒奖,人们可以购买卫生纸或“冠状病毒”图标添加到用户的个人资料
我们通常会在自然灾害或重大世界事件后看到类似主题的恶意软件,当前的冠状病毒(COVID-19)大流行也是如此。我们在地下论坛中看到与该病毒相关的网络钓鱼,漏洞利用和恶意软件的多个列表。一名用户(如下图所示)要求以200美元的价格购买私人建造的冠状病毒主题的网络钓鱼攻击,并索要700美元的代码签名证书。
在俄罗斯地下论坛上出售以冠状病毒为主题的网络钓鱼漏洞
大流行迅速改变了消费者的习惯。多个国家的人们都在努力寻找生活必需的用品,卫生纸和口罩的需求量很大。趋势科技研究发现,许多地下论坛现在都在出售N95口罩,卫生纸,通风机,温度计和病人监护仪等产品。我们已经看到有提供N95口罩(每个5美元)和厕纸卷(10美元)的帖子。随着股票的暴跌,地下论坛的用户也一直在讨论现在是否是投资比特币的好时机。比特币的价值在一个月内从8914美元(2月27日)跌至6620美元(3月27日)。
地下卖家提供3M N95口罩
提供N95口罩的论坛帖子
论坛帖子提供卫生纸卷
关于现在是否是投资加密货币的好时机的话题
一些卖家使用“冠状病毒”作为广告标题或正文中的关键字以增加销量。他们提供以病毒为主题的销售,甚至寻找合资企业的合作伙伴。我们甚至发现一些用户在讨论如何利用该病毒来进行社会工程骗局。
Darkweb市场提供大麻“冠状病毒销售”
卖方正在寻找与冠状病毒有关的合资企业
在许多国家/地区,人们被要求留在家中,企业倒闭,失业人数增加。所以,地下卖家的收入下降了,因为人们花钱的次数减少了。论坛上的卖家抱怨说,退市骗局也在增加。由于钱骡子也害怕感染病毒,依靠钱骡子和运输工具的地下企业也受到了影响。在多个论坛上的搜索结果显示,许多人讨论的是如何防止感染COVID-19病毒,如何制作洗手液,论坛用户如何应对城市封锁,以及对病毒的普遍关注。
COVID-19威胁的范围
据数据表明,电子邮件,URL和文件之间存在数百万种威胁。以下数据代表2020年第三季度收集的信息。
使用COVID-19的威胁图
恶意URL涵盖了与网络钓鱼相关的网站,骗局和转储恶意软件(例如软件,勒索软件)的域的范围。在下面的图表中,我们列出了用户不经意访问其字符串中包含covid,covid-19,coronavirus或ncov的恶意URL的前十个国家。我们的年中汇总显示,用户尝试访问与Covid-19相关的恶意URL的次数在4月达到顶峰,而5月和6月则保持稳定。但是,在第三季度,我们看到活动再次上升,尤其是在八月和九月。
2020年第三季度用户访问与COVID相关的恶意URL最多的国家
访问了与COVID-19相关的恶意URL的实例
如上文详述的威胁样本所示,这些威胁中有很大一部分与垃圾邮件有关。正如我们在年中综述中指出的那样,到2020年上半年,电子邮件威胁占所有Covid-19相关威胁的91.5%,是恶意参与者最常用的切入点。在今年第三季度,由于恶意活动以相对较高的速度持续,用户仍应保持警惕。
本文翻译自:
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-domains?_ga=2.181130599.1319579219.1610612606-1482036807.1514878063