Spearphishing-Kampagne nutzt die Befürchtungen des Coronavirus, um den Lokibot-Infostealer zu verbreiten

Die Internetkriminalität im Zusammenhang mit Coronaviren ist in den letzten Monaten in die Höhe geschossen. Böswillige Menschen verlassen den menschlichen Anstand und nutzen den panischen Zustand der Welt und das ständige Bedürfnis nach Informationen. Cyber-Angriffe nehmen zu.

Wie Sie in der folgenden Tabelle sehen können, scheinen sich die Trendsuchen zu überschneiden. Eine Zeile stellt die Gesamtsuche nach Coronavirus durch Google Trends dar und die andere zeigt Social-Media-Diskussionen zu Cybersicherheit und Cyberkriminalität im Zusammenhang mit Coronavirus.

Coronavirus-Trenddiagramm
Vergleich zwischen den Coronavirus-Trends - dem Virus und der Malware. Quelle: blog.checkpoint.com

Sie können auch die Spitze neu registrierter Websites mit Domainnamen im Zusammenhang mit Coronavirus sehen.

Anzahl der registrierten Coronavirus-Einstellungen
Deutliche Zunahme registrierter mit Coronavirus verbundener Domänen. Quelle: blog.checkpoint.com

Natürlich ist es mehr als wahrscheinlich, dass sich nicht alle dieser Websites auf Cyberkriminalität beziehen. Unabhängig davon sollte der Anstieg nicht ignoriert werden, da Coronavirus-bezogene Malware-Angriffe auf ebenso beeindruckende Weise zugenommen haben.

Coronavirus Anzahl der Cyberangriffe
Coronavirus-bezogene Angriffe in den letzten Monaten. Quelle: blog.checkpoint.com

Cyberkriminelle machen sich die Ängste der Menschen zunutze, Malware zu verbreiten, die Informationen stiehlt. Das Neueste in einer langen Reihe von Betrügereien, die sich auf die Coronavirus-Pandemie stützen, betrifft die Lokibot-Infektion. Böswillige Personen profitieren von der Tatsache, dass alle Augen auf die COVID-19-Entwicklung gerichtet bleiben und die meisten Menschen jede Menge Nachrichten verwüsten, selbst wenn sie im Zusammenhang mit Coronavirus stehen. Diese Gauner nutzen dies zu ihrem Vorteil und profitieren vom Informationsbedürfnis der Massen. Sie haben eine Spearphishing-E-Mail mit der Lokibot-Trojaner-Bedrohung erstellt.

Um ihrer Täuschung, den Cybercrooks, die hinter der Täuschung stehen, weitere Legitimität zu verleihen, verwenden Sie die Marke der Weltgesundheitsorganisation (WHO). Es ist ein Köder, der so viele Opfer wie möglich dazu bringt, auf diese Lügen hereinzufallen. Und unabsichtlich Malware auf ihren Computer einladen. Diese Gauner versprechen, Informationen im Zusammenhang mit Coronaviren bereitzustellen, und das ist etwas, wonach sich jeder Mensch zum Zeitpunkt dieser beängstigenden Pandemie sehnt. Die Menschen sind verängstigt und unsicher, was passiert und was kommen wird. Cyberkriminelle nutzen diese Ängste aus .

Achten Sie auf die Verbreitung von Fehlinformationen

Vor allem müssen Sie sich darüber im Klaren sein, dass diese gefälschte E-Mail nicht von der WHO stammt! Es ist weder zuverlässig noch legitim. Ihr Ziel ist es, vertrauenswürdig genug auszusehen, damit Sie den Anweisungen folgen. Auf diese Weise können Sie die Malware, die in der E-Mail gespeichert ist, auf Ihrem PC speichern.

Ironischerweise hat die E-Mail, die diese Leute Ihnen senden, um eine Infektion auf Ihrem System auszulösen, mit Fehlinformationen zu tun. Stimmt. Die Betrüger behaupten, die Verbreitung von Fehlinformationen anzugehen. Es steckt voller Text über die Gefahren von Fehlinformationen, Vorschläge, Empfehlungen, was zu tun ist, wenn Sie sich damit auseinandersetzen, und verschiedene Punkte zur Infektionskontrolle. Jedes Wort der E-Mail zielt darauf ab, Ihr Vertrauen zu verdienen und Ihre Aufmerksamkeit zu behalten. Die gesamte Nachricht ist in Englisch, aber einige auffällige Grammatik- und Interpunktionsfehler deuten darauf hin, dass die Personen, die sie geschrieben haben, sie nicht als Muttersprache haben. Sie machten auch eine bedeutendere Gaffe. Wie bereits erwähnt, behaupten die Cyberkriminellen, die E-Mail stamme von der WHO. Die E-Mail besagt, dass es vom WHO-Zentrum für die Kontrolle von Krankheiten stammt, einer Mischung aus den beiden großen Gesundheitsorganisationen WHO und den Zentren für die Kontrolle und Prävention von Krankheiten (CDC).

Ihre sorgfältig ausgearbeitete Lüge enthält einen Anhang, den Sie herunterladen müssen. Wenn Sie es herunterladen und ausführen, sind Sie in Schwierigkeiten, da dadurch der Lokibot Infostealer in Ihr System freigesetzt wird. Und dieser Trojaner ist alles andere als ein begehrenswerter Begleiter.

Infiltrationsprozess von Lokibot

Die Betreffzeile der E-Mail ist sehr verlockend. Die Gauner haben es "Coronavirus-Krankheit (COVID-19) Wichtige Kommunikation [.]" Genannt, in der Hoffnung, so viele Menschen wie möglich dazu zu bringen, es zu öffnen.

Der Anhang trägt den Namen 'COVID_19- WORLD HEALTH ORGANISATION CDC_DOC.zip.arj'.

Lokibot Phishing E-Mail
Die betreffende E-Mail. Quelle: fortinet.com

Schwindel, die-E-Mail covid-19
Die gefälschte Marke der WHO, die der E-Mail beiliegt. Quelle: fortinet.com

ARJ ist ein Komprimierungsformat, mit dem hocheffiziente komprimierte Archive erstellt werden. Sie können die komprimierte Datei mit 7-Zip öffnen. Die Gauner, die hinter dem Schema stehen, verwenden das ARJ-Format in der Hoffnung, dass es die Leute dazu veranlasst, es zu öffnen, da es keine Exe-Datei ist, an die sich die meisten anderen Betrüger wenden, wenn sie versuchen, ihre Infektionen zu verbreiten. Sobald Sie jedoch auf den Anhang klicken und die Datei dekomprimieren, wird eine 'exe'-Datei angezeigt. Die Datei wird in eine Datei umgewandelt, die anstelle von 'Doc.zip.arj' die Erweiterung 'DOC.pdf.exe' hat.

Nach der Ausführung der schädlichen Datei gelangt der Lokibot Infostealer in Ihr System, und es kommt zu Beschädigungen. Durch die Infektion werden eine Reihe von Anmeldeinformationen von Ihrem Computer entfernt. Die Liste ist umfangreich und enthält Kennwörter aller Art - im Browser gespeicherte und gespeicherte E-Mail-Kennwörter sowie FTP-Anmeldeinformationen. Das gesamte Design dreht sich um das Sammeln sensibler Daten von Ihnen. Sobald diese Informationen von Ihnen gestohlen wurden, werden sie von der Malware an die Befehls- und Kontrollserver (C & C) der Angreifer weitergeleitet. Die Daten werden an die URL 'hxxp: // bslines [.] Xyz / copy / five / fre.php' exfiltriert.

In weniger als dreißig Tagen um die Welt.

Diese Coronavirus-bezogene Spearphishing-Kampagne gibt es noch nicht lange. Es wurde erstmals Ende März entdeckt, wobei in einigen Berichten der 27. März als genaues Entdeckungsdatum angegeben wurde. Seitdem hat der Angriff in relativ kurzer Zeit einige Opfer gefordert. Es ist global geworden, mit Zielen in Österreich, Deutschland, der Türkei, den Vereinigten Staaten und Portugal. Dies sind die Länder mit der höchsten Anzahl gemeldeter Vorfälle, aber die Zielliste endet nicht dort. Die Kampagne hat sich auch auf Kanada, Spanien, Belgien, Italien und Puerto Rico ausgeweitet.

Wie zu sehen ist, ist die Taktik des Trojaners einfach, aber sehr effektiv. Unterschätzen Sie nicht den Schaden, den es anrichten kann. Lokibot hat sich den Ruf erarbeitet, hinterhältig und effizient zu sein. So sehr, dass es einige Versionen davon gibt, die im dunklen Netz zum Verkauf stehen. Schwarzmarktforen vermarkten Lokibot als Passwort- und Crypto-Coin-Wallet-Stealer. Sie können sogar stolzer Besitzer eines werden, und das zu einem Preis von nur 300 US-Dollar.

Bis Zane
April 21, 2020
Phishing
Deutsch
April 21, 2020
Phishing

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.