Поскольку кризис с коронавирусами продолжает привлекать всеобщее внимание, киберпреступники продолжают заниматься мошенничеством и распространением вредоносных программ, используя привлекающий внимание вирус в качестве приманки. Угрозы мошенников и мошенников, которые начались еще в январе и не прекращаются, варьируются от обмана людей из их финансовых данных до распространения вредоносных вредоносных программ.
Хотя некоторые мошенники используют новые методы для совершения своих преступлений, многие схемы основаны на проверенных методах фишинга, которые используют уязвимости программного обеспечения, которые иногда остаются не исправленными в течение многих лет. 1 апреля Секретная служба США (USSS) разослала информационное предупреждение «Мошеннические электронные письма COVID-19 со злонамеренными вложениями», которое предупреждает о сообщениях, маскирующихся под электронные письма о статусе COVID-19 от работодателей, продавцов и других предприятий.
USSS обнаружил попытки атак, которые с помощью этих ложных предупреждений пытались удаленно установить вредоносное ПО на зараженную систему, чтобы «собрать финансовые учетные данные, установить кейлоггеры или заблокировать систему с помощью вымогателей». Вредоносные вложения обычно представляют собой типы файлов Microsoft Office или WordPad, которые используют исправленную в настоящее время уязвимость в Microsoft Office, согласно предупреждению. Однако Секретная служба утверждает, что существуют вариации и развиваются векторы атак.
Содержание статьи
Исправление уязвимости Microsoft Office CVE-2017-11882
Марк Колеман, помощник специального агента, ответственного за уголовное расследование USSS Отдел рассказывает CSO, что распространители вредоносного ПО пытались использовать уязвимость повреждения памяти Microsoft Office, существовавшую два десятилетия, CVE-2017-11882, для которой Microsoft выпустила исправление для системы безопасности в ноябре 2017 года. CVE-2017-11882 является распространенным явлением, и По словам исследователей Cofense, даже «плодовитая» техника, позволяющая злоумышленникам распространять вредоносные программы, вовлеченные в более чем 600 инцидентов в течение первых трех кварталов 2019 года.
Секретная служба также заявила, что фишинговые электронные письма, замаскированные под сообщения из больницы Получив уведомление от получателя, что он мог вступить в контакт с человеком, инфицированным коронавирусом, он также несет вредоносное ПО, прикрепленное к загружаемому файлу Excel, который использует тот же недостаток Office. «Подобно мошенническим корпоративным электронным письмам COVID-19, это были файлы Excel .XLSM, которые, вероятно, пытались использовать ту же уязвимость Microsoft Office CVE-2017-11882», — говорит Коулман.
Вредоносная программа может похищать учетные данные для входа в систему. открывать общие ресурсы в сетях, просматривать все файлы и папки, а также обнаруживать и получать информацию о криптовалютах. Разновидностью этой атаки является электронное письмо, якобы от Министерства здравоохранения и социальных служб США (HHS), предназначенное для поставщиков медицинских услуг, с просьбой предоставить защитное медицинское оборудование из прилагаемого списка, содержащего вредоносное ПО.
Мошенники HHS отправили электронные письма Коулман говорит, что в нем содержался файл с расширением .EXE с префиксом расширения .PDF в имени файла — метод, используемый, чтобы обмануть получателей, полагая, что они открывают файл PDF, содержащий список необходимых расходных материалов. Коулман говорит, что, по их мнению, исполняемый файл развернул Agent Tesla для потенциального пользователя-жертвы, который регистрирует нажатия клавиш и регистрирует учетные данные. Агент Tesla — это проверенная временем вредоносная программа, которая также использует CVE-2017-11882. Он был продан тысячам кибер-преступников, которые платят за подписку на разных уровнях для лицензирования программного обеспечения.
Множество сообщений о мошенничестве с COVID-19
Эта комбинация использования неотразимой темы и старых и незащищенных уязвимостей является мощной. «Для людей, нацеленных на уязвимости, совершенно нормально использовать действительно старые уязвимости», — говорит CSO Роджер Граймс, бывший специалист по безопасности в Microsoft, а ныне евангелист по защите данных в KnowBe4. По его словам, около 25% организаций никогда не удосуживаются применить какой-либо конкретный патч после его выпуска.
Это создает идеальные условия для безумно успешных фишинговых кампаний. Граймс говорит, что от 80% до 90% всех успешных эксплойтов происходят из-за социальной инженерии, а от 20% до 40% успешных эксплойтов происходят из-за непатентованного программного обеспечения. Вместе они составляют 90% всех рисков внутри организаций.
«Мы наблюдаем увеличение фишинга на 670% в марте, главным образом из-за кампаний COVID. Удивительно, как много усилий и энергии у фишеров », — говорит Граймс.
Независимо от того, используют ли проверенные или новые методы мошенники и поставщики вредоносных программ, они не проявляют никаких признаков замедления, поскольку они связывают страхи с коронавирусом:
- Как и Секретная служба, Бюро по улучшению бизнеса получило сообщения о лицах, выдававших себя за сотрудников HHS, которые использовали SMS-сообщения для распространения информации о предполагаемом онлайн-тесте на коронавирус, который в действительности привел к краже вредоносных данных.
- Исследователи из KnowBe4 сообщили, что фишинговая электронная почта типа «вы вступили в контакт с человеком, инфицированным коронавирусом», использовалась секретной службой. Эта фишинговая кампания распространяет вредоносное ПО, которое служит троянским загрузчиком и обнаруживается лишь несколькими основными антивирусными приложениями.
- Исследователи из IBM X-Force Threat Intelligence идентифицировали электронные письма, в которых утверждалось, что они были отправлены американским СБА, которые, как представляется, являются электронными письмами-подтверждениями для заявки на помощь при бедствиях. Вместо этого электронные письма доставляют вложения, которые при открытии запускают вредоносную программу Remcos, которая устанавливает троянец удаленного доступа (RAT).
- Относительно в начале кризиса коронавирусов в западных странах NCSC Великобритании предупредил о создании фишинговых кампаний, привязанных к кризису коронавируса, заявив еще в середине марта, что киберпреступники быстро создавали фишинговые целевые страницы.
Расправа с мошенниками COVID-19 во всем мире
Следовательно, правоохранительные органы во всем мире обещают расправиться с преступниками, прибегающими к волне этой смертельной болезни. Офисы прокуроров США по всей стране объявили о своей активной заинтересованности в судебном преследовании киберпреступников, в том числе офисов прокуроров США по южному округу Калифорнии и западному округу Луизианы.
Ранее на этой неделе в офисе прокурора США в Южной Каролине даже сформировал «Ударную группу COVID», которая привлекает широкую группу сотрудников правоохранительных органов, в том числе прокуратуру США, федеральных сотрудников правоохранительных органов из целого ряда учреждений, сотрудников Отдела правопорядка Южной Каролины (SLED) и членов Южной Генеральная прокуратура Каролины.
Другие страны настаивают на привлечении к ответственности киберпреступников COVID. На этой неделе Австралия объявила о том, что ее Управление сигналов мобилизует свои наступательные возможности, чтобы уничтожить любых преступников, которые используют кризис COVID-19.
Колман из USSS говорит, что работа с местными правоохранительными органами является ключом к пресечению этих мошенников в зародыше. , «Будучи ведущим федеральным агентством, отвечающим за расследование сложных схем мошенничества с использованием кибер-технологий и обучение государственных и местных партнеров тому, как делать то же самое, мы верим в партнерские отношения, которые действуют как мультипликатор силы», — говорит он. «Благодаря такому быстрому и частому распространению криминальной разведки об угрозах в реальном времени среди широкой общественности и других заинтересованных сторон мы можем снизить эффективность и успех этих новых мошенничеств с COVID-19».
Copyright © 2020 IDG Communications, Inc.