Spearphishing-kampanjen drar nytta av Coronavirus-rädsla för att sprida Lokibot Infostealer
Coronavirus-relaterat cyberbrott har skyrocketed de senaste månaderna. Skadliga individer förlorar mänsklig anständighet och drar nytta av det panikerade tillståndet i världen och det ständiga behovet av information. Cyberattacker ökar.
Som du ser i diagrammet nedan verkar trendsökningar överlappa varandra. En rad representerar den övergripande sökningen efter Coronavirus av Google Trends, och den andra visar diskussioner på sociala medier om cybersäkerhet och cyberbrott kopplat till Coronavirus.
Jämförelse mellan Coronavirus-trenderna - viruset och skadlig kod. Källa: blog.checkpoint.com
Du kan också se spiken på nyregistrerade webbplatser med domännamn relaterade till Coronavirus.
Märkbar ökning av registrerade Coronavirus-anslutna domäner. Källa: blog.checkpoint.com
Naturligtvis är det mer än troligt att inte alla dessa webbplatser avser cyberbrott. Oavsett bör ökningen inte ignoreras eftersom Coronavirus-relaterade skadliga attacker har spikat på ett lika formidabelt sätt.
Coronavirus-relaterade attacker under de senaste månaderna. Källa: blog.checkpoint.com
Cyberbrottslingar rovar sig för människors rädsla för att sprida skadlig programvara för information. Det senaste i en lång rad bedrägerier, piggy-backing på Coronavirus-pandemin, involverar Lokibot-infektionen. Skadliga individer drar nytta av det faktum att allas ögon förblir limmade till COVID-19-utvecklingen, och de flesta människor rasar varje bit av nyheter, till och med fjärranslutna med Coronavirus. Dessa skurkar använder det till sin fördel och drar nytta av massornas behov av information. De har skapat en spearphishing-e-post som bär Lokibot Trojan-hotet.
För att ge ytterligare legitimitet till deras skräp, använder cybercrooks bakom bedrägeriet World Health Organization (WHO) varumärke. Det fungerar som ett lock som agnar så många offer som möjligt till att falla för dessa falskheter. Och omedvetet att bjuda in skadlig programvara i sin maskin. Dessa skurkar lovar att tillhandahålla Coronavirus-relaterad information, och det är något som varje person längtar efter vid denna skrämmande pandemi. Människor är rädda och osäkra på vad som händer och vad som kommer att komma. Cyberbrottslingar utnyttjar denna rädsla .
Table of Contents
Se upp för spridningen av felinformation
Framför allt måste du inse att detta falska e-postmeddelande inte kommer från WHO! Det är varken tillförlitligt eller legitimt. Dess mål är att se tillförlitligt nog så att du följer instruktionerna. Och genom att göra det så att skadlig programvara låses fast på e-postmeddelandet på din PC.
Det är ironiskt nog att e-postmeddelanden dessa människor skickar dig i sitt försök att släppa loss en infektion på ditt system har att göra med felinformation. Det är rätt. Svindlarna hävdar att hantera spridningen av felinformation. Den är full av text som stöter på och om farorna med felinformation, förslag, rekommendationer om vad du ska göra om du står inför det och flera punkter om infektionsbekämpning. Varje e-postord syftar till att få ditt förtroende och hålla din uppmärksamhet. Hela meddelandet är på engelska, men vissa märkbara grammatiska och skiljetecken fel antyder att de människor som skrev det inte har det som sitt första språk. De gjorde också en mer betydande gaffe. Som nämnts hävdar cyberkriminella att e-postmeddelandet kommer från WHO. E-postmeddelandet säger att det kommer från WHO: s Center for Disease Control, som är en blandning av de två stora sjukvårdsorganisationerna WHO och Centers for Disease Control and Prevention (CDC).
Deras noggrant utformade lögn innehåller en bilaga, som du uppmanas att ladda ner. Om du laddar ner och kör det är du i problem eftersom det släpper ut Lokibot Infostealer i ditt system. Och att trojan är allt annat än en önskvärd följeslagare.
Lokibots infiltrationsprocess
E-postens ämnesrad är ganska lockande. Skurkarna har kallat den ”Coronavirussjukdom (COVID-19) Viktig kommunikation [.]” I hopp om att få så många människor anslutna till att öppna den som möjligt.
Bilagan bär namnet 'COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj.'
E-posten i fråga. Källa: fortinet.com
Det falska WHO-varumärket som följer med e-postmeddelandet. Källa: fortinet.com
ARJ är ett komprimeringsformat som används för att skapa mycket effektiva komprimerade arkiv. Du kan öppna den komprimerade filen med 7-Zip. Skurkarna, bakom schemat, använder ARJ-formatet i hopp om att det kommer att få människor att öppna det eftersom det inte är en "exe" -fil som de flesta andra bedragare vänder sig till när de försöker sprida sina infektioner. Men så snart du klickar på bilagan och dekomprimerar filen ser du en "exe" -fil dyka upp. Filen omvandlas till en som istället för 'Doc.zip.arj' har en 'DOC.pdf.exe' förlängning.
Vid körning av den skadliga filen tar Lokibot Infostealer sig in i ditt system, och korruption följer. Infektionen lyfter upp en mängd referenser från din maskin. Listan är omfattande och den innehåller lösenord av alla slag - lagrade i webbläsaren och lagrade e-postadresser samt FTP-referenser. Hela designen handlar om att skörda känsliga data från dig. Sedan när den stjäl informationen från dig fortsätter skadlig programvara att leverera den till angriparens kommandot och kontrollserver (C&C). Uppgifterna filtreras till URL: n 'hxxp: // bslines [.] Xyz / copy / five / fre.php.'
Runt i världen på mindre än trettio dagar.
Denna Coronavirus-relaterade spearphishing-kampanj har inte funnits länge. Det upptäcktes först i slutet av mars, med några rapporter om 27 mars som det exakta upptäcktsdatumet. Sedan dess har attacken på relativt kort tid krävt en hel del offer. Det har gått globalt med mål i Österrike, Tyskland, Turkiet, USA och Portugal. Det här är länderna med det högsta antalet rapporterade incidenter, men mållistan slutar inte där. Kampanjen har också spridit sig till Kanada, Spanien, Belgien, Italien och Puerto Rico.
Som det är tydligt att se är trojans taktik enkel men ganska effektiv. Underskatt inte skadan den kan göra. Lokibot har förtjänat sitt rykte för att vara smygig och effektiv. Så mycket att det finns en hel del versioner av det som flyter runt den mörka webben till salu. Forum för svarta marknaderna marknadsför Lokibot som ett lösenord och en kryptomyntplånbok. Du kan till och med bli den stolta ägaren till en för ett litet pris som $ 300.
