Spearphishing-kampanjen drar fordel av Coronavirus-frykt for å spre Lokibot Infostealer
Coronavirus-relatert nettkriminalitet har skyrocketed de siste månedene. Ondsinnede individer forlater menneskelig anstendighet og drar fordel av verdens panikkstilstand og det stadige behovet for informasjon. Cyberangrep er på vei oppover.
Som du ser i diagrammet nedenfor, ser det ut til at trendsøk overlapper hverandre. Den ene linjen representerer det samlede søket etter Coronavirus av Google Trends, og den andre viser diskusjoner på sosiale medier om cybersikkerhet og nettkriminalitet koblet til Coronavirus.
Sammenligning mellom trender fra Coronavirus - viruset og skadelig programvare. Kilde: blog.checkpoint.com
Du kan også se piggen på nyregistrerte nettsteder med domenenavn relatert til Coronavirus.
Merkbar økning av registrerte Coronavirus-koblede domener. Kilde: blog.checkpoint.com
Naturligvis er det mer enn sannsynlig at ikke alle disse nettstedene forholder seg til nettkriminalitet. Uansett bør økningen ikke bli ignorert siden Coronavirus-relaterte malware-angrep har pigget på en like formidabel måte.
Coronavirus-relaterte angrep de siste månedene. Kilde: blog.checkpoint.com
Cyberkriminelle bytter frykt for mennesker for å spre infostjelende skadelig programvare. Det siste i en lang rekke svindel, piggy-backing på Coronavirus-pandemien, involverer Lokibot-infeksjonen. Ondsinnede individer drar fordel av det faktum at alles øyne forblir limt til COVID-19-utviklingen, og de fleste herjer hver bit av nyheter, til og med eksternt relatert til Coronavirus. Disse kjeltringene bruker det til sin fordel og drar fordel av massenes behov for informasjon. De har laget en spearphishing-e-post som bærer Lokibot Trojan-trusselen.
For å gi ytterligere legitimitet til deres skam, bruker cybercrooks bak bedrag, World Health Organization (WHO) varemerke. Det fungerer som et lokkemiddel som lokker så mange ofre som mulig til å falle for disse usannhetene. Og uvitende, å invitere malware til maskinen deres. Disse kjeltringene lover å gi Coronavirus-relatert informasjon, og det er noe enhver ønsker etter den skumle pandemien. Folk er skremt og usikre på hva som skjer og hva som skal komme. Cyberkriminelle utnytter frykten .
Table of Contents
Pass på spredning av feilinformasjon
Fremfor alt må du innse at denne falske e-posten ikke kommer fra WHO! Det er verken pålitelig eller legitimt. Målet er å se pålitelig nok til å få deg til å følge instruksjonene. Og på den måten, for å la skadelig programvare låses fast på e-posten på PCen.
Ironisk nok har e-posten disse menneskene sender deg i sitt forsøk på å slippe løs en infeksjon på systemet ditt med feilinformasjon. Det er riktig. Svindlerne hevder å adressere spredningen av feilinformasjon. Den er full av tekst som tangerer og fortsetter om farene ved feilinformasjon, forslag, anbefalinger om hva du skal gjøre hvis du møter det, og flere punkter om infeksjonskontroll. Hvert ord i e-posten har som mål å tjene din tillit og holde oppmerksomheten. Hele meldingen er på engelsk, men noen merkbare grammatiske og tegnsettingsfeil antyder at personene som skrev den ikke har det som førstespråk. De laget også en mer betydelig gaffe. Som nevnt hevder nettkriminellene e-posten kommer fra WHO. E-posten sier at den er fra WHO Center for Disease Control, som er en blanding av de to store helseorganisasjonene WHO og Centers for Disease Control and Prevention (CDC).
Deres nøye utformede løgn inneholder et vedlegg, som du blir oppfordret til å laste ned. Hvis du laster ned og kjører det, er du i trøbbel da det slipper løs Lokibot Infostealer i systemet ditt. Og at Trojan er alt annet enn en ønskelig følgesvenn.
Lokibots infiltrasjonsprosess
E-postens emnelinje er ganske fristende. Crooks har kalt den 'Coronavirus sykdom (COVID-19) Viktig kommunikasjon [.]' I håp om å få så mange mennesker hektet på å åpne den som mulig.
Vedlegget inneholder navnet 'COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj.'
Den aktuelle e-postmeldingen. Kilde: fortinet.com
Det falske WHO-varemerket som følger med e-posten. Kilde: fortinet.com
ARJ er et kompresjonsformat, som blir brukt til å lage svært effektive komprimerte arkiver. Du kan åpne den komprimerte filen med 7-Zip. Crooks, bak ordningen, bruker ARJ-formatet i håp om at det vil få folk til å åpne den, siden det ikke er en 'exe' -fil som de fleste andre svindlere henvender seg til når de prøver å spre infeksjonene sine. Men så snart du klikker på vedlegget og dekomprimerer filen, vil du se en exe-fil dukke opp. Filen forvandles til en som i stedet for 'Doc.zip.arj' har en 'DOC.pdf.exe' forlengelse.
Ved utførelse av den ondsinnede filen, gjør Lokibot Infostealer veien inn i systemet ditt, og korrupsjon følger. Infeksjonen løfter en rekke referanser fra maskinen din. Listen er omfattende, og den inneholder passord av alle slag - de som er lagret i nettleseren, og lagrede e-postadresse, så vel som FTP-legitimasjon. Hele designen dreier seg om å høste sensitive data fra deg. Så når den stjeler informasjonen fra deg, fortsetter skadelig programvare og leverer den til angripernes kommandoer og kontroll (C&C) -servere. Dataene blir filtrert til URL-en 'hxxp: // bslines [.] Xyz / copy / five / fre.php.'
Rundt om i verden på mindre enn tretti dager.
Denne Coronavirus-relaterte spearphishing-kampanjen har ikke eksistert på lenge. Den ble først oppdaget i slutten av mars, med noen rapporter om 27. mars som den eksakte datoen for oppdagelsen. Siden den gang har angrepet på relativt kort tid krevd ganske mange ofre. Det har gått globalt, med mål i Østerrike, Tyskland, Tyrkia, USA og Portugal. Dette er landene med størst antall rapporterte hendelser, men mållisten slutter ikke der. Kampanjen har også spredt seg til Canada, Spania, Belgia, Italia og Puerto Rico.
Som det er tydelig å se, er trojans taktikk enkel, men ganske effektiv. Ikke undervurder skadene den kan gjøre. Lokibot har fortjent sitt rykte for å være snik og effektiv. Så mye at det er ganske mange versjoner av det som svever rundt den mørke nettet for salg. Forum for svartemarked markedsfører Lokibot som et passord og en crypto-coin lommebokstiller. Du kan til og med bli den stolte eieren av en, til en så liten pris som $ 300.
