您所在的位置: 首頁 >
安全研究 >
安全通告 >
新一波與新冠疫苗相關的攻擊
惡意軟件通過垃圾郵件傳播
從2020年第一季度開始,趨勢科技的研究人員就追蹤到了與新冠疫苗相關的一波攻擊。這些攻擊包括但不限于以下惡意軟件:Emotet,F(xiàn)areit,Agent Tesla和Remcos。受影響用戶的國家包括美國,意大利和德國。
Emotet
在Emotet的 C&C服務器被撤銷之前,研究人員檢測到了一個垃圾郵件活動,該活動傳播了惡意軟件,并使用了與新冠疫苗有關的假消息作為誘餌。研究人員觀察到這種 Emotet垃圾郵件活動從1月初一直持續(xù)到同月24日。以下列出了一些電子郵件附件的示例文件名:
Daily COVID reporting.doc
DAILY COVID-19 Information.doc
NQ29526013I_COVID-19_SARS-CoV-2.doc
GJ-5679 Medical report Covid-19.doc
受Emotet影響的國家包括美國、意大利和加拿大,而受影響最大的行業(yè)是醫(yī)療保健、制造業(yè)、銀行業(yè)和運輸業(yè)。通過檢測Trojan.W97M.EMOTET.SMTH,研究人員能夠識別80多個文檔樣本。事實證明,文檔文件中也存在相似之處。以下是研究人員看到的一些電子郵件主題:
COVID-19 Vaccine Survey
RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now
Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020
這個Emotet攻擊活動使用了大約100個命令與控制(C&C)服務器,這些是可以追溯到33個國家/地區(qū)的IP地址。大多數(shù)地址來自美國、加拿大和法國。在大規(guī)模的垃圾郵件活動發(fā)生后的幾天,該特洛伊木馬竊取程序的某些感染無法再聯(lián)系其C&C服務器,此事可歸因于執(zhí)法部門對上述惡意軟件服務器的控制。
Fareit
網(wǎng)絡罪犯發(fā)起了一場垃圾郵件活動,通過電子郵件傳播Fareit惡意軟件,用所謂的攻擊疫苗引誘目標。Fareit能夠在瀏覽器、電子郵件和FTP客戶端等應用程序中竊取個人信息,如證書。使用的郵件主題如下:
Corona-virus(COVID-19),Common vaccine
Corona-Virus Disease (COVID-19) Pandemic Vaccine Released
Latest vaccine release for Corona-virus(COVID-19)
常見的附件文件如下:
Corona-virus vaccine.arj
COVID-19 VACCINE SAMPLES.arj
COVID-19 Vaccine.arj
vaccine release for Corona-virus(COVID-19)_pdf.rar
電子郵件的發(fā)送者冒充是來自世界衛(wèi)生組織(WHO),并使用了醫(yī)生的名字。受影響最大的國家是德國、美國、意大利、中國、西班牙和以色列。
用于傳播Fareit的垃圾郵件樣本
其他惡意軟件
除了Emotet和Fareit外,其他惡意軟件也用于傳播新冠疫苗相關攻擊。這包括特洛伊木馬竊取程序,比如Lokibot,Agent Tesla和Formbook。還使用了Remcos,Nanocore等遠程訪問木馬(RAT)和Anubis等Android惡意軟件。
據(jù)報道,2020年10月,勒索軟件變種通過偽造的新冠調(diào)查進行了傳播。網(wǎng)上誘騙郵件包含一份據(jù)稱針對加拿大一所大學的學生和教職員工的調(diào)查的附件,研究人員將其命名為Ransom.Win32.VAGGEN.A和Ransom.Win32.GOCRYPT.A。據(jù)報道,2020年11月,Zebocry假冒了生產(chǎn)新冠疫苗的制藥公司Sinopharm。攻擊者使用了一個虛擬硬盤(VHD)文件,該文件存儲了兩個文件:一個用于國藥演示幻燈片的PDF文件和一個以Microsoft Word文檔形式存在的可執(zhí)行文件。研究人員將其檢測為Backdoor.Win32.ZEBROCY.AD,將域 support-cloud[.]life作為其C&C服務器。
后門Remcos是通過一個文件偽裝而成的,據(jù)報道該文件包含有關新冠疫苗的詳細信息。特斯拉特工(Agent Tesla)偽裝在討論新冠疫苗或治愈方法的文件中,以獲取樣品或測試結(jié)果。AgentTesla 原本是一款在 2014 年發(fā)布的簡單的鍵盤記錄器,近年來其開發(fā)團隊為其不斷增加了許多新功能,并進行出售。AgentTesla 現(xiàn)已成為一個商業(yè)化的間諜軟件,可通過控制端生成滿足功能需求的木馬程序。
AgentTesla 最常見的傳播方式是釣魚郵件,郵件附件中通常會攜帶惡意文檔,通過宏或漏洞利用下載運行惡意程序。
網(wǎng)絡釣魚和詐騙
最近,一場以英國國民健康服務(NHS)為名的網(wǎng)絡釣魚運動正在蔓延。電子郵件誘使用戶確認他們接受接種疫苗的邀請。無論點擊邀請的“接受”還是“忽略”按鈕,電子郵件都會重定向到登錄頁面。該頁面顯示了一個請求用戶全名、出生日期、地址和手機號碼的表單。研究人員已經(jīng)在英國、德國、美國和荷蘭發(fā)現(xiàn)了這種活動。
偽造NHS郵件形式的網(wǎng)絡釣魚郵件
最近在墨西哥進行的另一次網(wǎng)絡釣魚活動中,攻擊者使用了一個偽裝成醫(yī)學實驗室“El Chopo”的網(wǎng)站,該網(wǎng)站看起來與合法實驗室相同。它要求提供詳細信息,例如姓名、年齡、地址、性別、手機號碼和電子郵件地址。用戶注冊后,他們將獲得國家疫苗接種卡的數(shù)字證書,并將被要求等待該卡的激活。據(jù)報道,通過該網(wǎng)站,用戶可以預約接種疫苗,在支付2700墨西哥比索(約合130美元)后,他們會收到一個偽造的確認信。該網(wǎng)站甚至提供了虛假聯(lián)系方式,例如電子郵件地址以及Facebook和WhatsApp頁面,以進行任何查詢。研究人員檢測了IP托管的網(wǎng)絡釣魚網(wǎng)站,例如vacunacion.elchopo[.]mx, dinero-vacunacion.elchopo[.]mx, xn--vacunacin-d7a.elchopo[.]mx 和infra-medica[.]com。
網(wǎng)絡釣魚頁面
偽造的頁面由Google緩存提供
2020年9月,研究人員觀察到了一次網(wǎng)絡釣魚活動,其主題是用于安全運輸疫苗的設備。它偽裝成聯(lián)合國兒童基金會對Gavi冷鏈設備優(yōu)化平臺(CCEOP)的采購,并附上一份報價要求。附件是一個顯示網(wǎng)絡釣魚頁面的HTML文件。該活動有20個域,并使用了位于荷蘭的托管IP地址。趨勢科技攔截了網(wǎng)絡釣魚域,并且HTML文件被檢測為Trojan.HTML.PHISH.TIAOOHWY。
冒充新冠疫苗項目的網(wǎng)絡釣魚電子郵件示例
指向釣魚頁面的HTML附件
惡意行為者仍在發(fā)起幾起與疫苗相關的攻擊。其范圍包括疫苗接種卡的分發(fā)、疫苗的銷售、疫苗接種的預約等。DomainTools域名工具站已報告了非法的CDC疫苗接種記錄卡,據(jù)稱該記錄卡在美國僅用于個人的疫苗接種證明。一些詐騙者還在其攻擊活動中使用了短信。
惡意域名
2020年,DomainTools開始提供一份免費的、經(jīng)策劃的高風險新冠相關域名列表,以在全球健康危機期間為社區(qū)提供支持。使用此域列表(大多數(shù)帶有關鍵字“covid”)和趨勢科技?智能防護網(wǎng)絡?的反饋,研究人員得出了75000個惡意域的列表。域的類別包括惡意軟件、網(wǎng)絡釣魚、欺詐和低信譽。
今年,研究人員發(fā)現(xiàn)帶有關鍵字“疫苗”的惡意域的創(chuàng)建呈上升趨勢。根據(jù)DomainTools的報告,從2020年11月開始,帶有“疫苗”一詞的域的創(chuàng)建激增。另一方面,自2020年6月以來,帶有“covid”一詞的域名數(shù)量有所減少。在研究人員的分析中,研究人員識別出大約1000個帶有關鍵詞“疫苗”的惡意域名。2020年11月,針對攻擊疫苗的仿制制藥品牌注冊了100個域名,例如:
Gam-COVID-Vac
BioNTech’s BNT162 vaccine (COVID-19 mRNA vaccine)
EPI - VAK - KORONA
PiCoVacc
Sputnik V
非法盈利
網(wǎng)絡罪犯還創(chuàng)建了使用疫苗作為誘餌的網(wǎng)站,2020年,vaccine-coronavirus[.]com投入使用。該網(wǎng)站在撰寫本文時仍處于無法讀取狀態(tài),它之前被偽裝成一所醫(yī)學院的網(wǎng)站。據(jù)推測,用戶可以從該網(wǎng)站使用比特幣作為支付方式購買疫苗。
出售新冠疫苗照片的騙局
暗網(wǎng)提供的隱藏服務和匿名性使其成為攻擊者出售非法疫苗的理想場所。最近的一份報告談到了一個暗網(wǎng),運營商聲稱該網(wǎng)站開發(fā)了一種疫苗,不僅可以購買,而且可以在全球范圍內(nèi)運輸。
另一個暗網(wǎng)網(wǎng)站要求買家將個人信息,甚至他們的攻擊感染狀況和已知疾病發(fā)送到一個電子郵件地址。這些細節(jié)也必須以比特幣的形式提交。
與此同時,另一份報告討論了在地下論壇上以250美元出售所謂疫苗的情況。
暗網(wǎng)網(wǎng)站上的新冠疫苗騙局
最近疫苗騙局正在通過Facebook和Telegram傳播,這令人擔憂,因為與之相關的一個電報平臺已經(jīng)擁有4000多名訂戶。特別值得一提的是,該渠道據(jù)稱可以提供知名品牌的疫苗。研究人員能夠識別詐騙網(wǎng)站,并注意到最接近的域名基于可用的描述是域名deltaexpressairline[.]com,使用Delta Express搜索更多的詐騙網(wǎng)站,發(fā)現(xiàn)了31個以上的域名。
Telegram平臺上的新冠疫苗騙局
參考及來源:
https://www.trendmicro.com/en_us/research/21/c/injecting-deception-covid-19-vaccine-related-threats.html
原文來源:嘶吼專業(yè)版