Кампания Spearphishing использует преимущества коронавирусных страхов для распространения инфо-дилера Lokibot

За последние несколько месяцев киберпреступность, связанная с коронавирусом, резко возросла. Злонамеренные люди отказываются от человеческой порядочности и пользуются паническим состоянием мира и постоянной потребностью в информации. Кибератаки на подъеме.

Как вы можете видеть на графике ниже, поиск трендов, похоже, перекрывается. Одна строка представляет общий поиск Coronavirus от Google Trends, а другая показывает дискуссии в социальных сетях о кибербезопасности и киберпреступности, связанной с Coronavirus.

диаграмма тенденций коронавируса
Сравнение тенденций Коронавируса - вирус и вредоносное ПО. Источник: blog.checkpoint.com

Вы также можете увидеть всплеск недавно зарегистрированных веб-сайтов с доменными именами, связанными с Коронавирусом.

количество зарегистрированных доменов коронавируса
Заметное увеличение зарегистрированных доменов, связанных с Коронавирусом. Источник: blog.checkpoint.com

Естественно, более чем вероятно, что не все эти сайты относятся к киберпреступности. В любом случае, это увеличение не следует игнорировать, поскольку атаки вредоносного ПО, связанные с Коронавирусом, набирают обороты в равной степени.

коронавирус число кибератак
Связанные с коронавирусом атаки в последние несколько месяцев. Источник: blog.checkpoint.com

Киберпреступники охотятся на страхи людей распространять вредоносное ПО. Последнее в длинной череде мошенничества, связанное с пандемией Коронавируса, связано с инфекцией Lokibot. Злоумышленники извлекают выгоду из того факта, что глаза каждого остаются прикованными к разработке COVID-19, и большинство людей разоряют каждую порцию новостей, даже отдаленно связанных с Коронавирусом. Эти мошенники используют это в своих интересах и извлекают выгоду из потребности масс в информации. Они создали почтовое письмо, содержащее угрозу трояна Lokibot.

Чтобы придать дополнительную легитимность своему обману, киберкруки, стоящие за обманом, используют товарный знак Всемирной организации здравоохранения (ВОЗ). Это действует как приманка, которая привлекает как можно больше жертв, чтобы попасть в ложь. И, невольно, приглашая вредоносные программы на свой компьютер. Эти мошенники обещают предоставить информацию, связанную с Коронавирусом, и это то, что каждый человек жаждет во время этой страшной пандемии. Люди напуганы и неуверены в том, что происходит и что будет дальше. Киберпреступники используют эти страхи .

Остерегайтесь распространения дезинформации

Прежде всего, вы должны понимать, что это поддельное электронное письмо не от ВОЗ! Это ни надежно, ни законно. Его цель - выглядеть достаточно надежно, чтобы заставить вас следовать его инструкциям. И, при этом, чтобы вредоносная программа попала в электронную почту на вашем ПК.

Как ни странно, электронное письмо, которое эти люди посылают вам в попытке раскрыть инфекцию в вашей системе, связано с дезинформацией. Это правильно. Мошенники утверждают, что противодействуют распространению дезинформации. Он полон текстов, вбивающих в себя все больше и больше информации об опасности дезинформации, предложений, рекомендаций о том, что делать, если вы сталкиваетесь с этим, и нескольких моментов по борьбе с инфекцией. Каждое слово в электронном письме стремится завоевать ваше доверие и удержать ваше внимание. Все сообщение написано на английском языке, но некоторые заметные грамматические ошибки и знаки препинания намекают на то, что написавшие его люди не считают его своим родным языком. Они также сделали более значительную оплошность. Как уже упоминалось, киберпреступники утверждают, что электронное письмо поступило от ВОЗ. В электронном письме говорится, что оно принадлежит Центру ВОЗ по контролю за заболеваниями, который состоит из двух основных организаций здравоохранения ВОЗ и Центров по контролю и профилактике заболеваний (CDC).

Их тщательно продуманная ложь содержит вложение, которое вам предлагается загрузить. Если вы загрузите и выполните его, у вас возникнут проблемы, так как он запускает Lokibot Infostealer в вашу систему. И этот троян совсем не желанный компаньон.

Процесс инфильтрации Локибота

Тема письма очень заманчива. Жулики назвали его «Коронавирусная болезнь (COVID-19) Важное сообщение [.]» В надежде привлечь как можно больше людей, чтобы открыть его.

Вложение носит название «COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj.»

фокинговая электронная почта lokibot
Письмо в вопросе. Источник: fortinet.com

фальшивый кто-19
Поддельная торговая марка ВОЗ, сопровождающая письмо. Источник: fortinet.com

ARJ - это формат сжатия, который используется для создания высокоэффективных сжатых архивов. Вы можете открыть сжатый файл с 7-Zip. Мошенники, стоящие за этой схемой, используют формат ARJ в надежде, что он побудит людей открыть его, поскольку это не «exe» -файл, к которому большинство других мошенников обращаются при попытке распространения своих инфекций. Но как только вы щелкнете по вложению и распакуете файл, вы увидите всплывающий файл «exe». Файл преобразуется в файл, который вместо «Doc.zip.arj» имеет расширение «DOC.pdf.exe».

После запуска вредоносного файла Lokibot Infostealer проникает в вашу систему, что приводит к повреждению. Инфекция снимает множество учетных данных с вашей машины. Список обширен и включает в себя пароли всех видов - хранимые в браузере и сохраненные в электронной почте, а также учетные данные FTP. Вся его конструкция вращается вокруг сбора конфиденциальных данных от вас. Затем, как только эта информация украдена у вас, вредоносная программа переходит к доставке ее на серверы управления и контроля (C & C) злоумышленников. Данные отправляются на URL-адрес «hxxp: // bslines [.] Xyz / copy / five / fre.php.»

По всему миру менее чем за тридцать дней.

Эта кампания по подводной охоте, связанная с коронавирусом, не проводилась давно. Впервые он был обнаружен в конце марта, причем в некоторых сообщениях указывалось, что 27 марта является точной датой обнаружения. С тех пор за относительно короткий промежуток времени атака унесла немало жертв. Он стал глобальным, с целями в Австрии, Германии, Турции, США и Португалии. Это страны с наибольшим количеством зарегистрированных инцидентов, но целевой список на этом не заканчивается. Кампания также распространилась на Канаду, Испанию, Бельгию, Италию и Пуэрто-Рико.

Как видно, тактика троянца проста, но довольно эффективна. Не стоит недооценивать ущерб, который он может нанести. Lokibot заслужил репутацию хитрой и эффективной. Настолько, что существует немало версий этого плавающего по темной паутине для продажи. Форумы на черном рынке рекламируют Lokibot как пароль и криптовалютный кошелек. Вы даже можете стать счастливым обладателем одного за такую небольшую цену, как 300 долларов.

April 21, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.