魚叉運動利用冠狀病毒的恐懼傳播Lokibot Infostealer

在過去幾個月中,與冠狀病毒有關的網絡犯罪激增。惡意個人放棄了人的尊嚴,並利用世界處於恐慌狀態以及對信息的不斷需求。網絡攻擊正在上升。

如下圖所示,趨勢搜索似乎重疊。其中一行代表Google趨勢對冠狀病毒的整體搜索,另一行代表社交媒體對與冠狀病毒相關的網絡安全和網絡犯罪的討論。

冠狀病毒趨勢圖
冠狀病毒趨勢之間的比較–病毒和惡意軟件。資料來源:blog.checkpoint.com

您還可以看到帶有與冠狀病毒相關的域名的新註冊網站激增。

已註冊的冠狀病毒域數
註冊的冠狀病毒連接域顯著增加。資料來源:blog.checkpoint.com

自然,並非所有這些網站都與網絡犯罪有關。無論如何,由於與冠狀病毒相關的惡意軟件攻擊以同樣強大的方式猛增,因此增加的數量不容忽視。

冠狀病毒的網絡攻擊數量
最近幾個月與冠狀病毒相關的攻擊。資料來源:blog.checkpoint.com

網絡犯罪分子捕食人們擔心散佈竊取信息的惡意軟件的恐懼。一連串的騙局中的最新騙局是在冠狀病毒大流行中piggy帶,涉及Lokibot感染。惡意人員利用了這樣一個事實,即每個人的眼睛始終盯著COVID-19的發展,大多數人肆虐每條新聞,甚至與冠狀病毒無關。這些騙子利用這一點為自己謀取利益,並從群眾對信息的需求中獲利。他們精心製作了一封帶有Lokibot Trojan威脅的魚叉式電子郵件。

為了使假冒背後的騙子更加合法,請使用世界衛生組織(WHO)商標。它是一種誘餌,誘使盡可能多的受害者陷入這些謊言中。並且,在不經意間將惡意軟件邀請到他們的計算機中。這些騙子有望提供與冠狀病毒有關的信息,而在這種可怕的大流行時期,每個人都渴望得到這一信息。人們受到驚嚇,不確定正在發生的事情以及即將發生的事情。網絡罪犯利用了這些恐懼

當心錯誤信息的傳播

最重要的是,您必須意識到這封虛假電子郵件並非來自世衛組織!這既不可靠也不合法。它的目標是看起來足夠值得信賴,以使您遵循其說明。而且,這樣做可以將惡意軟件鎖定到電子郵件中並發送到您的PC中。

具有諷刺意味的是,這些人向您發送的電子郵件試圖釋放系統上的感染,這與錯誤信息有關。那就對了。騙子聲稱解決了錯誤信息的傳播。有關錯誤信息的危險,建議,關於如何面對錯誤該怎麼辦的建議以及關於感染控制的幾點,無休止地充斥著大量文本。電子郵件中的每個單詞都旨在贏得您的信任並引起您的關注。整個消息使用英語,但是一些明顯的語法和標點錯誤提示編寫該消息的人並沒有將其作為第一語言。他們還製造了更大的失誤。如前所述,網絡罪犯聲稱該電子郵件來自世衛組織。這封電子郵件說,它來自世界衛生組織疾病控制中心,該中心由世界衛生組織和疾病控制與預防中心(CDC)這兩個主要的醫療組織組成。

他們精心製作的謊言包含附件,請敦促您下載附件。如果您下載並執行它,則可能會遇到麻煩,因為這會將Lokibot Infostealer釋放到您的系統中。而且,該木馬絕非理想的伴侶。

Lokibot的滲透過程

電子郵件的主題行非常誘人。騙子將其命名為“冠狀病毒病(COVID-19)重要交流[。]”,以期吸引盡可能多的人來打開它。

附件的名稱為“ COVID_19-世界衛生組織CDC_DOC.zip.arj”。

lokibot網絡釣魚電子郵件
有問題的電子郵件。資料來源:fortinet.com

偽造者covid-19電子郵件
電子郵件隨附的虛假的WHO商標。資料來源:fortinet.com

ARJ是一種壓縮格式,可用於創建高效的壓縮存檔。您可以使用7-Zip打開壓縮文件。該計劃背後的騙子使用ARJ格式,希望它能引起人們打開它,因為它不是大多數騙子在嘗試傳播其感染時所依賴的“ exe”文件。但是,一旦單擊附件並解壓縮文件,就會看到一個彈出的“ exe”文件。該文件將轉換為擴展名為“ DOC.pdf.exe”的文件,而不是“ Doc.zip.arj”。

一旦執行了惡意文件,Lokibot Infostealer便會進入您的系統,從而導致損壞。感染會從您的計算機中刪除一系列憑據。該列表範圍很廣,其中包括各種密碼-存儲在瀏覽器中的密碼,存儲的電子郵件密碼以及FTP憑據。它的整個設計圍繞著從您那裡收集敏感數據進行。然後,一旦惡意軟件從您那裡竊取了該信息,它就會繼續將其傳遞給攻擊者的命令和控制(C&C)服務器。數據被洩露到URL'hxxp:// bslines [。] xyz / copy / five / fre.php'。

在不到三十天的時間內遍及全球。

這種與冠狀病毒有關的魚叉運動尚未持續很長時間。它首先在3月底被發現,一些報告指出3月27日為確切的發現日期。此後,在相對較短的時間內,這次襲擊已造成許多受害者。它已經走向全球,其目標是奧地利,德國,土耳其,美國和葡萄牙。這些是報告的事件數量最高的國家,但目標列表並不止於此。該活動也已擴展到加拿大,西班牙,比利時,意大利和波多黎各。

顯而易見,該特洛伊木馬程序的策略很簡單,但相當有效。不要小看它可能造成的損害。 Lokibot因偷偷摸摸和高效而贏得了聲譽。如此之多,以至於有相當多的版本在黑暗的網上浮動出售。黑市論壇將Lokibot作為密碼和加密硬幣錢包的竊取者。您甚至可以成為其中一個的驕傲的所有者,價格低至$ 300。

April 21, 2020

發表評論