Шпионское ПО преобладает в паразитирующих на теме коронавируса рассылках
В период с 13 февраля по 1 апреля специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB) проанализировали сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19.
Перехваченные системой предотвращения сложных киберугроз Threat Detection System (TDS) фишинговые письма содержали во вложении различные типы шпионского ПО. Сами популярными оказались программы-шпионы - 65%, второе место занимают бэкдоры - 31%, на шифровальщики приходится около 4%. Что касается шпионского ПО, то наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%).
Программы-шпионы опасны не только тем, что способны собирать данные о системе и зараженном компьютере, загружать и запускать файлы, делать скриншоты, записывать нажатие клавиш на клавиатуре, но и могут похищать данные пользователей: логины, пароли из браузеров, почтовых и FTP-клиентов, а также данные банковских карт.
Сами фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также и крупных компаний. Рассылки были направлены как в коммерческий, так и в государственный секторы.
16 марта CERT-GIB зафиксировал новую вредоносную рассылку якобы от лица сотрудницы UNICEF - международной организации, действующей под эгидой ООН. Получателю предлагали загрузить приложение, чтобы получать обновления о ситуации с COVID-19 и рекомендации, как защитить своих сотрудников от этого вируса. К фейковому письму прилагался архив, который содержал Netwire - троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.
27 и 28 марта CERT-GIB зафиксировал две волны рассылки шпионской программы HawkEye с темой Free face Mask. Письмо было отправлено якобы от менеджера китайской компании - Galaxy Electronic Industrial. В письме говорились, что китайская компания якобы запустила завод по производству защитных масок - есть идея запустить совместный бизнес, нужно посмотреть сертификацию товара во вложении. Внутри находится RAR-архив Mask 2020.rar с вредоносным исполняемым файлом Mask 2020.exe и шпионской программой из семейства HawkEye (aka HawkSpy).
Несмотря на то, что процент фишинговых писем, паразитирующих на теме COVID-19, невысок и составил за исследуемый период около 5% во всем вредоносном трафике, злоумышленники на хакерских форумах стремятся использовать панические настроения, чтобы поднять свои продажи вредоносных программ.
Например, с февраля на андеграундном форуме продается Java-загрузчик, замаскированный под интерактивную карту распространения COVID-19. Основным путем заражения является обычная фишинговая рассылка, и она, как уверяет продавец, обходит защиту Gmail благодаря использованию легитимных расширений файлов. После заражения пользователю открывается карта с актуальными данными ВОЗ и "Университета Джона Хопкинса", а параллельно загружается любая полезная нагрузка, например, вредоносная программа для кражи данных. Позже - в марте - исследователи фиксировали такие рассылки со стилером AZORult.
Кроме того, команда Group-IB Threat Hunting Intelligence зафиксировала более 500 объявлений на андеграундных площадках со скидками и промокодами на период пандемии на услуги DDoD, спам-рассылок и т. д.
Впрочем, не все представители андеграунда пытаются заработать на новостной повестке, связанной с пандемией. Часть из них осуждают эксплуатацию коронавирусной тематики во вредоносных кампаниях.
В связи с тем, что многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, эксперты Group-IB прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети.
Эксперты Group-IB рекомендуют заранее позаботиться о получении удаленного доступа к необходимым ресурсам компании для безопасной работы из дома. Важно защитить двухфакторной аутентификацией все учетные записи электронной почты удаленных сотрудников, в мессенджерах и при VPN-подключении, используемом для доступа к корпоративным сетям. Нельзя загружать и открывать корпоративные файлы на личных устройствах, не переходить по ссылкам в сообщениях, в том числе, посвященным злободневным темам (новости и распоряжения, касающиеся коронавируса, компенсации, отмены командировок и т. д.).