您所在的位置: 首頁 >
安全研究 >
安全通告 >
新一波與新冠疫苗相關(guān)的攻擊
惡意軟件通過垃圾郵件傳播
從2020年第一季度開始,趨勢科技的研究人員就追蹤到了與新冠疫苗相關(guān)的一波攻擊。這些攻擊包括但不限于以下惡意軟件:Emotet,F(xiàn)areit,Agent Tesla和Remcos。受影響用戶的國家包括美國,意大利和德國。
Emotet
在Emotet的 C&C服務(wù)器被撤銷之前,研究人員檢測到了一個(gè)垃圾郵件活動,該活動傳播了惡意軟件,并使用了與新冠疫苗有關(guān)的假消息作為誘餌。研究人員觀察到這種 Emotet垃圾郵件活動從1月初一直持續(xù)到同月24日。以下列出了一些電子郵件附件的示例文件名:
Daily COVID reporting.doc
DAILY COVID-19 Information.doc
NQ29526013I_COVID-19_SARS-CoV-2.doc
GJ-5679 Medical report Covid-19.doc
受Emotet影響的國家包括美國、意大利和加拿大,而受影響最大的行業(yè)是醫(yī)療保健、制造業(yè)、銀行業(yè)和運(yùn)輸業(yè)。通過檢測Trojan.W97M.EMOTET.SMTH,研究人員能夠識別80多個(gè)文檔樣本。事實(shí)證明,文檔文件中也存在相似之處。以下是研究人員看到的一些電子郵件主題:
COVID-19 Vaccine Survey
RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now
Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020
這個(gè)Emotet攻擊活動使用了大約100個(gè)命令與控制(C&C)服務(wù)器,這些是可以追溯到33個(gè)國家/地區(qū)的IP地址。大多數(shù)地址來自美國、加拿大和法國。在大規(guī)模的垃圾郵件活動發(fā)生后的幾天,該特洛伊木馬竊取程序的某些感染無法再聯(lián)系其C&C服務(wù)器,此事可歸因于執(zhí)法部門對上述惡意軟件服務(wù)器的控制。
Fareit
網(wǎng)絡(luò)罪犯發(fā)起了一場垃圾郵件活動,通過電子郵件傳播Fareit惡意軟件,用所謂的攻擊疫苗引誘目標(biāo)。Fareit能夠在瀏覽器、電子郵件和FTP客戶端等應(yīng)用程序中竊取個(gè)人信息,如證書。使用的郵件主題如下:
Corona-virus(COVID-19),Common vaccine
Corona-Virus Disease (COVID-19) Pandemic Vaccine Released
Latest vaccine release for Corona-virus(COVID-19)
常見的附件文件如下:
Corona-virus vaccine.arj
COVID-19 VACCINE SAMPLES.arj
COVID-19 Vaccine.arj
vaccine release for Corona-virus(COVID-19)_pdf.rar
電子郵件的發(fā)送者冒充是來自世界衛(wèi)生組織(WHO),并使用了醫(yī)生的名字。受影響最大的國家是德國、美國、意大利、中國、西班牙和以色列。
用于傳播Fareit的垃圾郵件樣本
其他惡意軟件
除了Emotet和Fareit外,其他惡意軟件也用于傳播新冠疫苗相關(guān)攻擊。這包括特洛伊木馬竊取程序,比如Lokibot,Agent Tesla和Formbook。還使用了Remcos,Nanocore等遠(yuǎn)程訪問木馬(RAT)和Anubis等Android惡意軟件。
據(jù)報(bào)道,2020年10月,勒索軟件變種通過偽造的新冠調(diào)查進(jìn)行了傳播。網(wǎng)上誘騙郵件包含一份據(jù)稱針對加拿大一所大學(xué)的學(xué)生和教職員工的調(diào)查的附件,研究人員將其命名為Ransom.Win32.VAGGEN.A和Ransom.Win32.GOCRYPT.A。據(jù)報(bào)道,2020年11月,Zebocry假冒了生產(chǎn)新冠疫苗的制藥公司Sinopharm。攻擊者使用了一個(gè)虛擬硬盤(VHD)文件,該文件存儲了兩個(gè)文件:一個(gè)用于國藥演示幻燈片的PDF文件和一個(gè)以Microsoft Word文檔形式存在的可執(zhí)行文件。研究人員將其檢測為Backdoor.Win32.ZEBROCY.AD,將域 support-cloud[.]life作為其C&C服務(wù)器。
后門Remcos是通過一個(gè)文件偽裝而成的,據(jù)報(bào)道該文件包含有關(guān)新冠疫苗的詳細(xì)信息。特斯拉特工(Agent Tesla)偽裝在討論新冠疫苗或治愈方法的文件中,以獲取樣品或測試結(jié)果。AgentTesla 原本是一款在 2014 年發(fā)布的簡單的鍵盤記錄器,近年來其開發(fā)團(tuán)隊(duì)為其不斷增加了許多新功能,并進(jìn)行出售。AgentTesla 現(xiàn)已成為一個(gè)商業(yè)化的間諜軟件,可通過控制端生成滿足功能需求的木馬程序。
AgentTesla 最常見的傳播方式是釣魚郵件,郵件附件中通常會攜帶惡意文檔,通過宏或漏洞利用下載運(yùn)行惡意程序。
網(wǎng)絡(luò)釣魚和詐騙
最近,一場以英國國民健康服務(wù)(NHS)為名的網(wǎng)絡(luò)釣魚運(yùn)動正在蔓延。電子郵件誘使用戶確認(rèn)他們接受接種疫苗的邀請。無論點(diǎn)擊邀請的“接受”還是“忽略”按鈕,電子郵件都會重定向到登錄頁面。該頁面顯示了一個(gè)請求用戶全名、出生日期、地址和手機(jī)號碼的表單。研究人員已經(jīng)在英國、德國、美國和荷蘭發(fā)現(xiàn)了這種活動。
偽造NHS郵件形式的網(wǎng)絡(luò)釣魚郵件
最近在墨西哥進(jìn)行的另一次網(wǎng)絡(luò)釣魚活動中,攻擊者使用了一個(gè)偽裝成醫(yī)學(xué)實(shí)驗(yàn)室“El Chopo”的網(wǎng)站,該網(wǎng)站看起來與合法實(shí)驗(yàn)室相同。它要求提供詳細(xì)信息,例如姓名、年齡、地址、性別、手機(jī)號碼和電子郵件地址。用戶注冊后,他們將獲得國家疫苗接種卡的數(shù)字證書,并將被要求等待該卡的激活。據(jù)報(bào)道,通過該網(wǎng)站,用戶可以預(yù)約接種疫苗,在支付2700墨西哥比索(約合130美元)后,他們會收到一個(gè)偽造的確認(rèn)信。該網(wǎng)站甚至提供了虛假聯(lián)系方式,例如電子郵件地址以及Facebook和WhatsApp頁面,以進(jìn)行任何查詢。研究人員檢測了IP托管的網(wǎng)絡(luò)釣魚網(wǎng)站,例如vacunacion.elchopo[.]mx, dinero-vacunacion.elchopo[.]mx, xn--vacunacin-d7a.elchopo[.]mx 和infra-medica[.]com。
網(wǎng)絡(luò)釣魚頁面
偽造的頁面由Google緩存提供
2020年9月,研究人員觀察到了一次網(wǎng)絡(luò)釣魚活動,其主題是用于安全運(yùn)輸疫苗的設(shè)備。它偽裝成聯(lián)合國兒童基金會對Gavi冷鏈設(shè)備優(yōu)化平臺(CCEOP)的采購,并附上一份報(bào)價(jià)要求。附件是一個(gè)顯示網(wǎng)絡(luò)釣魚頁面的HTML文件。該活動有20個(gè)域,并使用了位于荷蘭的托管IP地址。趨勢科技攔截了網(wǎng)絡(luò)釣魚域,并且HTML文件被檢測為Trojan.HTML.PHISH.TIAOOHWY。
冒充新冠疫苗項(xiàng)目的網(wǎng)絡(luò)釣魚電子郵件示例
指向釣魚頁面的HTML附件
惡意行為者仍在發(fā)起幾起與疫苗相關(guān)的攻擊。其范圍包括疫苗接種卡的分發(fā)、疫苗的銷售、疫苗接種的預(yù)約等。DomainTools域名工具站已報(bào)告了非法的CDC疫苗接種記錄卡,據(jù)稱該記錄卡在美國僅用于個(gè)人的疫苗接種證明。一些詐騙者還在其攻擊活動中使用了短信。
惡意域名
2020年,DomainTools開始提供一份免費(fèi)的、經(jīng)策劃的高風(fēng)險(xiǎn)新冠相關(guān)域名列表,以在全球健康危機(jī)期間為社區(qū)提供支持。使用此域列表(大多數(shù)帶有關(guān)鍵字“covid”)和趨勢科技?智能防護(hù)網(wǎng)絡(luò)?的反饋,研究人員得出了75000個(gè)惡意域的列表。域的類別包括惡意軟件、網(wǎng)絡(luò)釣魚、欺詐和低信譽(yù)。
今年,研究人員發(fā)現(xiàn)帶有關(guān)鍵字“疫苗”的惡意域的創(chuàng)建呈上升趨勢。根據(jù)DomainTools的報(bào)告,從2020年11月開始,帶有“疫苗”一詞的域的創(chuàng)建激增。另一方面,自2020年6月以來,帶有“covid”一詞的域名數(shù)量有所減少。在研究人員的分析中,研究人員識別出大約1000個(gè)帶有關(guān)鍵詞“疫苗”的惡意域名。2020年11月,針對攻擊疫苗的仿制制藥品牌注冊了100個(gè)域名,例如:
Gam-COVID-Vac
BioNTech’s BNT162 vaccine (COVID-19 mRNA vaccine)
EPI - VAK - KORONA
PiCoVacc
Sputnik V
非法盈利
網(wǎng)絡(luò)罪犯還創(chuàng)建了使用疫苗作為誘餌的網(wǎng)站,2020年,vaccine-coronavirus[.]com投入使用。該網(wǎng)站在撰寫本文時(shí)仍處于無法讀取狀態(tài),它之前被偽裝成一所醫(yī)學(xué)院的網(wǎng)站。據(jù)推測,用戶可以從該網(wǎng)站使用比特幣作為支付方式購買疫苗。
出售新冠疫苗照片的騙局
暗網(wǎng)提供的隱藏服務(wù)和匿名性使其成為攻擊者出售非法疫苗的理想場所。最近的一份報(bào)告談到了一個(gè)暗網(wǎng),運(yùn)營商聲稱該網(wǎng)站開發(fā)了一種疫苗,不僅可以購買,而且可以在全球范圍內(nèi)運(yùn)輸。
另一個(gè)暗網(wǎng)網(wǎng)站要求買家將個(gè)人信息,甚至他們的攻擊感染狀況和已知疾病發(fā)送到一個(gè)電子郵件地址。這些細(xì)節(jié)也必須以比特幣的形式提交。
與此同時(shí),另一份報(bào)告討論了在地下論壇上以250美元出售所謂疫苗的情況。
暗網(wǎng)網(wǎng)站上的新冠疫苗騙局
最近疫苗騙局正在通過Facebook和Telegram傳播,這令人擔(dān)憂,因?yàn)榕c之相關(guān)的一個(gè)電報(bào)平臺已經(jīng)擁有4000多名訂戶。特別值得一提的是,該渠道據(jù)稱可以提供知名品牌的疫苗。研究人員能夠識別詐騙網(wǎng)站,并注意到最接近的域名基于可用的描述是域名deltaexpressairline[.]com,使用Delta Express搜索更多的詐騙網(wǎng)站,發(fā)現(xiàn)了31個(gè)以上的域名。
Telegram平臺上的新冠疫苗騙局
參考及來源:
https://www.trendmicro.com/en_us/research/21/c/injecting-deception-covid-19-vaccine-related-threats.html
原文來源:嘶吼專業(yè)版