Кібератаки, що використовують COVID-19

30.04.2020

Пандемія коронавірусу (COVID-19) використовується в якості приманки в шкідливих кампаніях із застосуванням технік соціальної інженерії, включаючи спам, шкідливі програми, шифрувальники та шкідливі домени. У міру того як кількість випадків зараження збільшується вже тисячами, також набирають обертів і відповідні шкідливі кампанії. Експерти Panda постійно знаходять нові зразки подібних шкідливих кампаній, пов'язаних із коронавірусом.

Спам, що пов'язаний з коронавірусом

Експерти Panda виявили відправлення і отримання спамових листів, пов'язаних з коронавірусом, практично по всьому світу, включаючи й такі країни як США, Японію, Росію і Китай. У багатьох з цих листів, які виглядають так, немов вони відправлені з офіційних організацій, стверджується, що вони містять оновлену інформацію й рекомендації щодо пандемії. Як і більшість спам-кампаній вони також містять і шкідливі вкладення. Один із прикладів – спам із темою листа “Corona Virus Latest Updates”, нібито відправлений Міністерством охорони здоров'я. Містить рекомендації про те, як запобігти зараженню, а в листі є вкладення, яке нібито містить оновлену інформацію про коронавірус (COVID-19). Насправді ж воно містить шкідливу програму.

Інші спамові листи про коронавірус пов'язані з постачанням продуктів харчування, які були порушені в результаті поширення інфекції.

Наступний приклад спаму італійською мовою містить важливу інформацію про коронавірус:

Ще один лист португальською мовою обіцяє нову інформацію про вакцину проти COVID-19, яку передбачається застосувати згодом.

Були випадки, коли в темі спамових листів згадувалися ліки проти коронавірусу, щоб спробувати змусити людей завантажити шкідливе вкладення. Іноді таким шкідливим вкладенням є HawkEye Reborn – це варіант трояна HawkEye, який здійснює крадіжку інформації.

Індикатори компрометації для шкідливих вкладень

У цьому випадку індикатори компрометації такі:

Ще одна спамова кампанія була спрямована проти користувачів в Італії – країні, яка сильно постраждала через пандемію. У темі і тілі листів міститься текст: “Coronavirus: important information on precautions” (Коронавірус: важлива інформація про запобіжні заходи). У тілі листа стверджується, що вкладення в листі – це документ від Всесвітньої організації охорони здоров'я (ВООЗ), а тому наполегливо рекомендується завантажити цей вкладений документ Microsoft Word, що містить у собі троян.

Відкриваючи цей документ, користувач бачить наступне повідомлення, що змушує його включити макроси:

Індикатори компрометації (ІОС)

Шкідливі програми і шифрувальники, що пов'язані з коронавірусом

Завдяки нашому сервісу 100% класифікації антивірусна лабораторія PandaLabs зуміла ідентифікувати й заблокувати такі шкідливі виконувані файли, пов'язані з цими кампаніями:

Інші дослідники бачили, як кіберзлочинці використовували онлайн-карти моніторингу захворювання коронавірусом, підміняючи їх фейковими веб-сайтами, з яких завантажувалися і встановлювалися шкідливі програми. Нижче наведені хеші таких шкідливих додатків:

Новий варіант шифрувальника CoronaVirus використовував для свого поширення фейковий сайт з оптимізації системи. Жертви неусвідомлено скачували з цього сайту файл WSGSetup.exe. Потім цей файл працював як завантажувач двох видів шкідливих програм: шифрувальник CoronaVirus і троян для крадіжки паролів Trojan Kpot.

Дана кампанія є частиною останньої тенденції, що спостерігається серед шифрувальників: вона поєднує шифрування даних з крадіжкою інформації.

Більш того, був помічений ще один шифрувальник під назвою CovidLock. Нині вражає користувачів мобільних пристроїв. Цей шифрувальник з'явився із шкідливого додатку для Android, який нібито допомагає відслідковувати випадки зараження COVID-19. Шифрувальник блокує стільниковий телефон своєї жертви, надаючи йому всього 48 годин для оплати викупу в розмірі 100 доларів США в біткоїнах для відновлення доступу до свого пристрою. Інакше жертві загрожують видалити всі дані з телефону та викрасти дані її акаунтів в соцмережах.

Домени, пов'язані з коронавірусом

Крім того, помітно збільшилася кількість доменних імен, що використовують у своїй назві слово «корона» (corona). Нижче ми наводимо список таких шкідливих доменів:

Як працюють ці атаки

Насправді всі ці атаки використовують вектори проникнення, які можна розглядати як «традиційні». Ми в Panda бачимо, що всі ці вектори можуть бути закриті традиційними антивірусними рішеннями для захисту кінцевих пристроїв. Ми в цьому випадку використовуємо такі механізми для виявлення та блокування загроз:

Сервіс 100% класифікації, що класифікує кожен бінарний файл і дозволяє запуск лише тим з них, хто перевірений нашою хмарною системою зі штучним інтелектом.

EDR-технології, особливо система виявлення Індикаторів атак (IoA) з поведінки і контексту.

З того, що ми бачимо в нашій лабораторії, найбільш поширеним прикладом атак є поштові спамові листи з використанням технологій соціального інжинірингу. Такі листи містять дропер, який завантажує бінарний файл тут:

C:\Users\user\AppData\Local\Temp\qeSw.exe

Хеш: 258ED03A6E4D9012F8102C635A5E3DCD

Рішення Panda виявляють дропер як Trj/GdSda.A

Даний бінарний файл шифрує комп'ютер (процес: vssadmin.exe) і видаляє тіньові копії з використанням процесу conhost.exe.

Офіційні джерела IoC

Національний криптографічний центр в Іспанії має вичерпний список індикаторів компрометації (IoC) на рівні хеш, IP-адрес та доменів:

https://www.ccn.cni.es/index.php/en/

Інформація може бути доступна тут:

https://loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

Як захистити себе від цих та інших кіберзагроз

Завдяки сервісу 100% класифікації, який систематизує всі бінарні файли до їх запуску і блокує запуск будь-яких шкідливих бінарних файлів, рішення Panda щодо захисту кінцевих пристроїв з опціями розширеного захисту найбільш ефективні для зупинки таких шкідливих кампаній, як і багатьох інших.

Цей сервіс використовує високоефективний механізм для виявлення і видалення шкідливих програм і шифрувальників ще до їх запуску незалежно від того, чи є вони новими варіантами загроз або новими шкідливими доменами, як у випадку з вірусами, пов'язаними з COVID-19.

Поведінкові та контекстуальні індикатори атак (IoA) виявляють і блокують незвичайні шаблони поведінки на захищених пристроях: наприклад, завантаження файлу з Word або спроба доступу до невідомих або шкідливих URL. Будь-яка спроба компрометації пристрою негайно блокується, а виконання шкідливих дій і підключення до шкідливих доменів зупиняється.