Пандемия с коронавирусом COVID-19 используется в качестве приманки во вредоносных кампаниях с применением техник социальной инженерии, включая спам, вредоносные программы, шифровальщики и вредоносные домены. По мере того как количество случаев заражения увеличивается уже тысячами, также набирают обороты и соответствующие вредоносные кампании. Эксперты Panda постоянно находят новые образцы подобных вредоносных кампаний, связанных с коронавирусом.

Спам, связанный с коронавирусом

Эксперты Panda обнаружили отправление и получение спамовых писем, связанных с коронавирусом, практически во всем мире, включая и такие страны как США, Японию, Россию и Китай. Во многих из этих писем, которые выглядят так, словно они отправлены из официальных организаций, утверждается, что они содержат обновленную информацию и рекомендации относительно пандемии. Как и большинство спам-кампаний, они также содержат и вредоносные вложения.

Один из примеров - спам с темой письма "Corona Virus Latest Updates", якобы отправленный Министерством здравоохранения. Содержит рекомендации о том, как предотвратить заражение, а в письме имеется вложение, которое якобы содержит обновленную информацию о коронавирусе COVID-19. Впрочем, на самом деле оно содержит вредоносную программу.

Другие спамовые письма про коронавирус связаны с поставками продуктов питания, которые были нарушены в результате распространения инфекции.

Следующий пример спама на итальянском языке содержит важную информацию о коронавирусе:

Следующее письмо на португальском языке обещает новую информацию о предполагаемой вакцине против COVID-19.

Были случаи, когда в теме спамовых писем упоминались лекарства против коронавируса, чтобы попытаться заставить людей загрузить вредоносное вложение. Иногда таким вредоносным вложением является HawkEye Reborn - это вариант трояна HawkEye, который осуществляет кражу информации.

Индикаторы компрометации для вредоносных вложений


В этом случае индикаторы компрометации такие:

Еще одна спамовая кампания была направлена против пользователей в Италии - стране, которая сильно пострадала в результате пандемии. В теме и теле писем содержится текст “Coronavirus: important information on precautions” (Коронавирус: важная информация о мерах предосторожности). В теле письма утверждается, что вложение в письме - это документ от Всемирной организации здравоохранения (ВОЗ), а потому настоятельно рекомендуется скачать этот вложенный документ Microsoft Word, который содержит в себе трояна.

Когда пользователь открывает этот документ, то показывается следующее сообщение, заставляющее пользователя включить макросы:

Индикаторы компрометации (IoC):

Вредоносные программы и шифровальщики, связанные с коронавирусом

Благодаря нашему сервису 100% классификации, антивирусная лаборатория PandaLabs сумела идентифицировать и заблокировать следующие вредоносные исполняемые файлы, связанные с этими кампаниями:

Другие исследователи видели, как кибер-преступники использовали онлайн-карты мониторинга заболевания коронавирусом, подменяя их фейковыми веб-сайтами, с которых загружались и устанавливались вредоносные программы. Ниже приведены хэши таких вредоносных приложений:

Новый вариант шифровальщика CoronaVirus использовал для своего распространения фейковый сайт по оптимизации системы. Жертвы неосознанно скачивали с этого сайта файл WSGSetup.exe. Затем этот файл работал как загрузчик двух видов вредоносных программ: шифровальщик CoronaVirus и троян для кражи паролей Trojan Kpot.

Данная кампания является частью последней тенденции, наблюдаемой среди шифровальщиков: она сочетает шифрование данных с кражей информации.

Более того, был замечен еще один шифровальщик под названием CovidLock, ныне поражающий пользователей мобильных устройств. Этот шифровальщик появился из вредоносного приложения для Android, которое якобы помогает отслеживать случаи заражения COVID-19. Шифровальщик блокирует сотовый телефон своей жертвы, предоставляя ему всего 48 часов для оплаты выкупа в размере 100 долларов США в биткоинах для восстановления доступа к своему устройству. Иначе жертве угрожают удалить все данные с телефона и украсть данные их аккаунтов в соцсетях.

Домены, связанные с коронавирусом

Кроме того, заметно увеличилось число доменных имен, использующих в своем названии слово "корона" (corona). Ниже мы приводим список таких вредоносных доменов:

  • acccorona [.] com
  • alphacoronavirusvaccine [.] com
  • anticoronaproducts [.] com
  • beatingcorona [.] com
  • beatingcoronavirus [.] com
  • bestcorona [.] com
  • betacoronavirusvaccine [.] com
  • buycoronavirusfacemasks [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • combatcorona [.] com
  • contra-coronavirus [.] com
  • corona-blindado [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • corona explicada [.] com
  • corona-iran [.] com
  • corona-ratgeber [.] com
  • coronadatabase [.] com
  • coronadeathpool [.] com
  • coronadetect [.] com
  • coronadetection [.] com

Как работают эти атаки

Дело в том, что все эти атаки используют векторы проникновения, которые можно рассматривать как "традиционные". Мы в Panda видим, что все эти векторы могут быть закрыты традиционными антивирусными решениями для защиты конечных устройств. Мы в этом случае использует следующие механизмы для обнаружения и блокировки угроз:

  • Сервис 100% классификации, который классифицирует каждый бинарный файл и разрешает запуск только тем из них, кто проверен нашей облачной системой с искусственным интеллектом
  • EDR-технологии, особенно система обнаружения Индикаторов атак (IoA) по поведению и контексту.

 Из того, что мы видим в нашей лаборатории, наиболее распространенным примером атак является почтовые спамовые письма с использованием технологий социального инжиниринга. Такие письма содержат дроппер, который загружает бинарный файл здесь:

C:\Users\user\AppData\Local\Temp\qeSw.exe

Хэш: 258ED03A6E4D9012F8102C635A5E3DCD

Решения Panda обнаруживают дроппер как Trj/GdSda.A

Данный бинарный файл шифрует компьютер (процесс: vssadmin.exe) и удаляет теневые копии с использованием процесса conhost.exe.

Официальные источники IoC

Испанский национальный криптографический центр имеет исчерпывающий список индикаторов компрометации (IoC) на уровне хэшей, IP-адресов и доменов: https://www.ccn.cni.es/index.php/en/.

Информация может быть доступна здесь:
https://loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

Как защитить себя от этих и других кибер-угроз

Благодаря сервису 100% классификации, который классифицирует все бинарные файлы до их запуска и блокирует запуск любых вредоносных бинарных файлов, решения Panda по защите конечных устройств с опциями расширенной защиты очень эффективны для остановки таких вредоносных кампаний, как и многих других.

Этот сервис использует высокоэффективный механизм для обнаружения и удаления вредоносных программ и шифровальщиков еще до их запуска независимо от того, являются ли они новыми вариантами угроз или новыми вредоносными доменами, как в случае с вредоносными объектами, связанными с COVID-19.

Поведенческие и контекстуальные индикаторы атак (IoA) обнаруживают и блокируют необычные шаблоны поведения на защищенных устройствах: например, загрузка исполняемого файла из Word или попытка доступа к неизвестным или вредоносным URL. Любая попытка компрометации устройства немедленно блокируется, а выполнение вредоносных действий и подключение к вредоносным доменам останавливается.