Οι εγκληματίες του κυβερνοχώρου επιδιώκουν να επωφεληθούν από τους φόβους για το κοροναϊό ως μέσο για τη διεξαγωγή επιθέσεων ηλεκτρονικού “ψαρέματος” (phishing) και την εξάπλωση malware, μαζί με κλοπές login credentials και στοιχείων πιστωτικών καρτών.
Οι εταιρείες του κυβερνοχώρου έχουν εντοπίσει μια σειρά εκστρατειών από τους hackers που προσπαθούν να εκμεταλλευτούν τις ανησυχίες τους για το ξέσπασμα του κοροναϊού COVID-19 για δικό τους εγκληματικό σκοπό. Οι Crooks χρησιμοποιούν συχνά τις τρέχουσες υποθέσεις για να κάνουν τις απάτες τους πιο έγκαιρες.
Οι ερευνητές της Sophos έχουν εντοπίσει μια καμπάνια Trojanbot που στοχεύει ειδικά τις ιταλικές διευθύνσεις ηλεκτρονικού ταχυδρομείου σε μια προσπάθεια να παίξει με ανησυχίες για τον ιό. Το phishing email έρχεται με ένα έγγραφο Word το οποίο ισχυρίζεται ότι περιέχει συμβουλές σχετικά με τον τρόπο πρόληψης του injection – αλλά αυτό το συνημμένο είναι στην πραγματικότητα ένα script Visual Basic for Applications (VBA) που “ρίχνει” μια νέα παραλλαγή του Trickbot στο μηχάνημα του θύματος.
Το κείμενο του μηνύματος υποστηρίζει ότι προσφέρει συμβουλές από την Παγκόσμια Οργάνωση Υγείας (Π.Ο.Υ.) σε ένα έγγραφο του Word το οποίο ισχυρίζεται ότι έχει δημιουργηθεί χρησιμοποιώντας μια παλαιότερη έκδοση του Microsoft Word που σημαίνει ότι ο χρήστης πρέπει να ενεργοποιήσει τις μακροεντολές για να δει το περιεχόμενο. Κάνοντας αυτό, εκτελεί μια αλυσίδα εντολών που εγκαθιστά το Trickbot στο μηχάνημα.
Ως banking trojan, το Trickbot χρησιμοποιείται κυρίως για να κλέψει εμπιστευτικές πληροφορίες από τα θύματα – αλλά μόλις εγκατασταθεί σε ένα σύστημα, μπορεί επίσης να χρησιμοποιηθεί ως υποκατάστατο για την εγκατάσταση άλλων μορφών malware.
“Οι εγκληματίες του κυβερνοχώρου πίσω από το Trickbot είναι πιθανόν εξειδικευμένοι επιτιθέμενοι που εκμεταλλεύονται την ανησυχία της ημέρας για να τρομάξουν τους ανθρώπους να κάνουν κλικ. Ενώ αυτό είναι στην Ιταλία τώρα, θα περίμενε κανείς παρόμοια επίθεση σε άλλες χώρες όπου οι φόβοι για εστίες COVID-19 είναι υψηλές” Chester Wisniewski, κύριος ερευνητής της Sophos.
“Η καλύτερη προσέγγιση για την αποφυγή αυτού του τύπου cyberattack είναι να απενεργοποιήσετε τις μακροεντολές, να είστε ιδιαίτερα προσεκτικοί σχετικά με το τι κάνετε κλικ και να διαγράψετε μηνύματα που είναι ύποπτα ή από μια απροσδόκητη πηγή“, πρόσθεσε.
Οι ερευνητές στο Fortinet έχουν εντοπίσει μια ξεχωριστή καμπάνια phishing που υποτίθεται ότι προέρχεται από εταιρεία παράδοσης που προσφέρει μια ενημέρωση σχετικά με τον αντίκτυπο του ιού.
Το email έχει θέμα ‘Coronavirus Customer Advisory Issue’ και έρχεται με αυτό που ισχυρίζεται ότι είναι ένα συνημμένο PDF, αλλά είναι στην πραγματικότητα είναι ένα εκτελέσιμο αρχείο. Εάν ο χρήστης το τρέξει, το malware Lokibot εγκαθίσταται στο λογισμικό.
Όπως το Trickbot, το Lokibot είναι κυρίως ένα trojan που δημιουργεί ένα backdoor σε συστήματα Windows για την κλοπή ευαίσθητων πληροφοριών από τα θύματα, συμπεριλαμβανομένων των ονομάτων χρηστών, των κωδικών πρόσβασης και των τραπεζικών λεπτομερειών μέσω της χρήσης ενός keylogger.
Το Fortinet συνιστά στους οργανισμούς να εφαρμόζουν τακτικά patches στα δίκτυα, προκειμένου να διασφαλίσουν ότι τα κακόβουλα προγράμματα όπως το Lokibot δεν μπορούν να επωφεληθούν από γνωστές ευπάθειες για να εγκατασταθούν σε συστήματα. Συνιστούν επίσης οι οργανισμοί να εκπαιδεύουν τους χρήστες να είναι ύποπτοι για απροσδόκητα email που ζητούν να γίνει κάποια λήψη.
Οι ερευνητές της Proofpoint έχουν επίσης εντοπίσει μια σειρά από εκστρατείες hacking με θέμα τον κοροναϊό, οι οποίες εγκαθιστούν κακόβουλο λογισμικό συμπεριλαμβανομένων των Emotet, NanoCore και Azorult στις μηχανές τους και παρέχουν στους επιτιθέμενους ένα μέσο για την κλοπή προσωπικών δεδομένων και πρόσβαση σε backdoor σε εταιρικά δίκτυα.
“Συνολικά, αυτά τα τελευταία παραδείγματα χρησιμεύουν ως υπενθύμιση ότι οι χρήστες θα πρέπει να είναι προσεκτικοί όταν πρόκειται για email και website με θέμα το κοροναϊό”, δήλωσε ο Sherrod deGrippo, ανώτερος διευθυντής έρευνας και ανίχνευσης απειλών στην Proofpoint.
Ο Παγκόσμιος Οργανισμός Υγείας εξέδωσε τη δική του προειδοποίηση σχετικά με τους απατεώνες που εκμεταλλεύονται τα σημερινά γεγονότα για δικό τους όφελος.
Επίσης δήλωσε ότι δεν στείλει ποτέ email ζητώντας στους ανθρώπους να κάνουν login για να δουν πληροφορίες, να ανοίξουν απροσδόκητα συνημμένα ή να εισάγουν οικονομικές πληροφορίες. Ο ΠΟΥ έχει δημιουργήσει ένα link όπου μπορείτε να αναφέρετε υποψίες απάτης.
