惡意軟件通過(guò)垃圾郵件傳播

從2020年第一季度開(kāi)始，趨勢(shì)科技的研究人員就追蹤到了與新冠疫苗相關(guān)的一波攻擊。這些攻擊包括但不限于以下惡意軟件：Emotet，F(xiàn)areit，Agent Tesla和Remcos。受影響用戶(hù)的國(guó)家包括美國(guó)，意大利和德國(guó)。

Emotet

在Emotet的 C&C服務(wù)器被撤銷(xiāo)之前，研究人員檢測(cè)到了一個(gè)垃圾郵件活動(dòng)，該活動(dòng)傳播了惡意軟件，并使用了與新冠疫苗有關(guān)的假消息作為誘餌。研究人員觀察到這種 Emotet垃圾郵件活動(dòng)從1月初一直持續(xù)到同月24日。以下列出了一些電子郵件附件的示例文件名：

Daily COVID reporting.doc

DAILY COVID-19 Information.doc

NQ29526013I_COVID-19_SARS-CoV-2.doc

GJ-5679 Medical report Covid-19.doc

受Emotet影響的國(guó)家包括美國(guó)、意大利和加拿大，而受影響最大的行業(yè)是醫(yī)療保健、制造業(yè)、銀行業(yè)和運(yùn)輸業(yè)。通過(guò)檢測(cè)Trojan.W97M.EMOTET.SMTH，研究人員能夠識(shí)別80多個(gè)文檔樣本。事實(shí)證明，文檔文件中也存在相似之處。以下是研究人員看到的一些電子郵件主題：

COVID-19 Vaccine Survey

RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now

Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020

這個(gè)Emotet攻擊活動(dòng)使用了大約100個(gè)命令與控制(C&C)服務(wù)器，這些是可以追溯到33個(gè)國(guó)家/地區(qū)的IP地址。大多數(shù)地址來(lái)自美國(guó)、加拿大和法國(guó)。在大規(guī)模的垃圾郵件活動(dòng)發(fā)生后的幾天，該特洛伊木馬竊取程序的某些感染無(wú)法再聯(lián)系其C&C服務(wù)器，此事可歸因于執(zhí)法部門(mén)對(duì)上述惡意軟件服務(wù)器的控制。

Fareit

網(wǎng)絡(luò)罪犯發(fā)起了一場(chǎng)垃圾郵件活動(dòng)，通過(guò)電子郵件傳播Fareit惡意軟件，用所謂的攻擊疫苗引誘目標(biāo)。Fareit能夠在瀏覽器、電子郵件和FTP客戶(hù)端等應(yīng)用程序中竊取個(gè)人信息，如證書(shū)。使用的郵件主題如下：

Corona-virus(COVID-19),Common vaccine

Corona-Virus Disease (COVID-19) Pandemic Vaccine Released

Latest vaccine release for Corona-virus(COVID-19)

常見(jiàn)的附件文件如下：

Corona-virus vaccine.arj

COVID-19 VACCINE SAMPLES.arj

COVID-19 Vaccine.arj

vaccine release for Corona-virus(COVID-19)_pdf.rar

電子郵件的發(fā)送者冒充是來(lái)自世界衛(wèi)生組織(WHO)，并使用了醫(yī)生的名字。受影響最大的國(guó)家是德國(guó)、美國(guó)、意大利、中國(guó)、西班牙和以色列。

用于傳播Fareit的垃圾郵件樣本

其他惡意軟件

除了Emotet和Fareit外，其他惡意軟件也用于傳播新冠疫苗相關(guān)攻擊。這包括特洛伊木馬竊取程序，比如Lokibot，Agent Tesla和Formbook。還使用了Remcos，Nanocore等遠(yuǎn)程訪問(wèn)木馬(RAT)和Anubis等Android惡意軟件。

據(jù)報(bào)道，2020年10月，勒索軟件變種通過(guò)偽造的新冠調(diào)查進(jìn)行了傳播。網(wǎng)上誘騙郵件包含一份據(jù)稱(chēng)針對(duì)加拿大一所大學(xué)的學(xué)生和教職員工的調(diào)查的附件，研究人員將其命名為Ransom.Win32.VAGGEN.A和Ransom.Win32.GOCRYPT.A。據(jù)報(bào)道，2020年11月，Zebocry假冒了生產(chǎn)新冠疫苗的制藥公司Sinopharm。攻擊者使用了一個(gè)虛擬硬盤(pán)(VHD)文件，該文件存儲(chǔ)了兩個(gè)文件：一個(gè)用于國(guó)藥演示幻燈片的PDF文件和一個(gè)以Microsoft Word文檔形式存在的可執(zhí)行文件。研究人員將其檢測(cè)為Backdoor.Win32.ZEBROCY.AD，將域 support-cloud[.]life作為其C&C服務(wù)器。

后門(mén)Remcos是通過(guò)一個(gè)文件偽裝而成的，據(jù)報(bào)道該文件包含有關(guān)新冠疫苗的詳細(xì)信息。特斯拉特工(Agent Tesla)偽裝在討論新冠疫苗或治愈方法的文件中，以獲取樣品或測(cè)試結(jié)果。AgentTesla 原本是一款在 2014 年發(fā)布的簡(jiǎn)單的鍵盤(pán)記錄器，近年來(lái)其開(kāi)發(fā)團(tuán)隊(duì)為其不斷增加了許多新功能，并進(jìn)行出售。AgentTesla 現(xiàn)已成為一個(gè)商業(yè)化的間諜軟件，可通過(guò)控制端生成滿足功能需求的木馬程序。

AgentTesla 最常見(jiàn)的傳播方式是釣魚(yú)郵件，郵件附件中通常會(huì)攜帶惡意文檔，通過(guò)宏或漏洞利用下載運(yùn)行惡意程序。

網(wǎng)絡(luò)釣魚(yú)和詐騙

最近，一場(chǎng)以英國(guó)國(guó)民健康服務(wù)(NHS)為名的網(wǎng)絡(luò)釣魚(yú)運(yùn)動(dòng)正在蔓延。電子郵件誘使用戶(hù)確認(rèn)他們接受接種疫苗的邀請(qǐng)。無(wú)論點(diǎn)擊邀請(qǐng)的“接受”還是“忽略”按鈕，電子郵件都會(huì)重定向到登錄頁(yè)面。該頁(yè)面顯示了一個(gè)請(qǐng)求用戶(hù)全名、出生日期、地址和手機(jī)號(hào)碼的表單。研究人員已經(jīng)在英國(guó)、德國(guó)、美國(guó)和荷蘭發(fā)現(xiàn)了這種活動(dòng)。

偽造NHS郵件形式的網(wǎng)絡(luò)釣魚(yú)郵件

最近在墨西哥進(jìn)行的另一次網(wǎng)絡(luò)釣魚(yú)活動(dòng)中，攻擊者使用了一個(gè)偽裝成醫(yī)學(xué)實(shí)驗(yàn)室“El Chopo”的網(wǎng)站，該網(wǎng)站看起來(lái)與合法實(shí)驗(yàn)室相同。它要求提供詳細(xì)信息，例如姓名、年齡、地址、性別、手機(jī)號(hào)碼和電子郵件地址。用戶(hù)注冊(cè)后，他們將獲得國(guó)家疫苗接種卡的數(shù)字證書(shū)，并將被要求等待該卡的激活。據(jù)報(bào)道，通過(guò)該網(wǎng)站，用戶(hù)可以預(yù)約接種疫苗，在支付2700墨西哥比索(約合130美元)后，他們會(huì)收到一個(gè)偽造的確認(rèn)信。該網(wǎng)站甚至提供了虛假聯(lián)系方式，例如電子郵件地址以及Facebook和WhatsApp頁(yè)面，以進(jìn)行任何查詢(xún)。研究人員檢測(cè)了IP托管的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站，例如vacunacion.elchopo[.]mx, dinero-vacunacion.elchopo[.]mx, xn--vacunacin-d7a.elchopo[.]mx 和infra-medica[.]com。

網(wǎng)絡(luò)釣魚(yú)頁(yè)面

偽造的頁(yè)面由Google緩存提供

2020年9月，研究人員觀察到了一次網(wǎng)絡(luò)釣魚(yú)活動(dòng)，其主題是用于安全運(yùn)輸疫苗的設(shè)備。它偽裝成聯(lián)合國(guó)兒童基金會(huì)對(duì)Gavi冷鏈設(shè)備優(yōu)化平臺(tái)(CCEOP)的采購(gòu)，并附上一份報(bào)價(jià)要求。附件是一個(gè)顯示網(wǎng)絡(luò)釣魚(yú)頁(yè)面的HTML文件。該活動(dòng)有20個(gè)域，并使用了位于荷蘭的托管IP地址。趨勢(shì)科技攔截了網(wǎng)絡(luò)釣魚(yú)域，并且HTML文件被檢測(cè)為T(mén)rojan.HTML.PHISH.TIAOOHWY。

冒充新冠疫苗項(xiàng)目的網(wǎng)絡(luò)釣魚(yú)電子郵件示例

指向釣魚(yú)頁(yè)面的HTML附件

惡意行為者仍在發(fā)起幾起與疫苗相關(guān)的攻擊。其范圍包括疫苗接種卡的分發(fā)、疫苗的銷(xiāo)售、疫苗接種的預(yù)約等。DomainTools域名工具站已報(bào)告了非法的CDC疫苗接種記錄卡，據(jù)稱(chēng)該記錄卡在美國(guó)僅用于個(gè)人的疫苗接種證明。一些詐騙者還在其攻擊活動(dòng)中使用了短信。

惡意域名

2020年，DomainTools開(kāi)始提供一份免費(fèi)的、經(jīng)策劃的高風(fēng)險(xiǎn)新冠相關(guān)域名列表，以在全球健康危機(jī)期間為社區(qū)提供支持。使用此域列表(大多數(shù)帶有關(guān)鍵字“covid”)和趨勢(shì)科技?智能防護(hù)網(wǎng)絡(luò)?的反饋，研究人員得出了75000個(gè)惡意域的列表。域的類(lèi)別包括惡意軟件、網(wǎng)絡(luò)釣魚(yú)、欺詐和低信譽(yù)。

今年，研究人員發(fā)現(xiàn)帶有關(guān)鍵字“疫苗”的惡意域的創(chuàng)建呈上升趨勢(shì)。根據(jù)DomainTools的報(bào)告，從2020年11月開(kāi)始，帶有“疫苗”一詞的域的創(chuàng)建激增。另一方面，自2020年6月以來(lái)，帶有“covid”一詞的域名數(shù)量有所減少。在研究人員的分析中，研究人員識(shí)別出大約1000個(gè)帶有關(guān)鍵詞“疫苗”的惡意域名。2020年11月，針對(duì)攻擊疫苗的仿制制藥品牌注冊(cè)了100個(gè)域名，例如：

Gam-COVID-Vac

BioNTech’s BNT162 vaccine (COVID-19 mRNA vaccine)

EPI - VAK - KORONA

PiCoVacc

Sputnik V

非法盈利

網(wǎng)絡(luò)罪犯還創(chuàng)建了使用疫苗作為誘餌的網(wǎng)站，2020年，vaccine-coronavirus[.]com投入使用。該網(wǎng)站在撰寫(xiě)本文時(shí)仍處于無(wú)法讀取狀態(tài)，它之前被偽裝成一所醫(yī)學(xué)院的網(wǎng)站。據(jù)推測(cè)，用戶(hù)可以從該網(wǎng)站使用比特幣作為支付方式購(gòu)買(mǎi)疫苗。

出售新冠疫苗照片的騙局

暗網(wǎng)提供的隱藏服務(wù)和匿名性使其成為攻擊者出售非法疫苗的理想場(chǎng)所。最近的一份報(bào)告談到了一個(gè)暗網(wǎng)，運(yùn)營(yíng)商聲稱(chēng)該網(wǎng)站開(kāi)發(fā)了一種疫苗，不僅可以購(gòu)買(mǎi)，而且可以在全球范圍內(nèi)運(yùn)輸。

另一個(gè)暗網(wǎng)網(wǎng)站要求買(mǎi)家將個(gè)人信息，甚至他們的攻擊感染狀況和已知疾病發(fā)送到一個(gè)電子郵件地址。這些細(xì)節(jié)也必須以比特幣的形式提交。

與此同時(shí)，另一份報(bào)告討論了在地下論壇上以250美元出售所謂疫苗的情況。

暗網(wǎng)網(wǎng)站上的新冠疫苗騙局

最近疫苗騙局正在通過(guò)Facebook和Telegram傳播，這令人擔(dān)憂，因?yàn)榕c之相關(guān)的一個(gè)電報(bào)平臺(tái)已經(jīng)擁有4000多名訂戶(hù)。特別值得一提的是，該渠道據(jù)稱(chēng)可以提供知名品牌的疫苗。研究人員能夠識(shí)別詐騙網(wǎng)站，并注意到最接近的域名基于可用的描述是域名deltaexpressairline[.]com，使用Delta Express搜索更多的詐騙網(wǎng)站，發(fā)現(xiàn)了31個(gè)以上的域名。

Telegram平臺(tái)上的新冠疫苗騙局

參考及來(lái)源：

https://www.trendmicro.com/en_us/research/21/c/injecting-deception-covid-19-vaccine-related-threats.html

原文來(lái)源：嘶吼專(zhuān)業(yè)版