Блог 360 Total Security

С развитием эпидемии кибератаки на COVID-19 продолжают усиливаться

С быстрым распространением коронавируса (COVID-19) по всему миру, усилилась тенденция кибератак под названием «Co ronavirus» . Центр безопасности 360 обнаружил множество подобных кибератак за это время, злоумышленники в основном отправляли фишинговые электронные письма жертвам под видом «ВОЗ».

По состоянию на 4 марта 2020 года число подтвержденных случаев заболевания в Италии достигло 2036 года. С усилением эпидемии в регионе мы обнаружили фишинговые атаки по электронной почте против итальянского Интернета, мультимедиа и других отраслей. Здесь мы предполагаем, что в будущем будет все больше и больше кибератак с использованием Коронавируса в качестве горячей точки, и область, где усиливается эпидемия, также может быть основной областью атаки для таких действий.

Технический анализ

Перехваченное нами электронное письмо было озаглавлено «Coronavirus Informazioni importanti su precauzioni» и замаскировало отправителя в качестве исследователя из Всемирной организации здравоохранения в Италии.

Сообщение и его перевод выглядит как следующий образ:

Вредоносный документ, содержащийся во вложении, содержит следующий код, который выпускает сценарий JavaScript для выполнения:

 

Cкрипты Jse — это запутанная вредоносная программа Ostap, которая собирает системную информацию, загружает и выполняет другие полезные данные.

Подобный пример атаки

В прошлом месяце мы обнаружили несколько фишинговых атак по электронной почте, похожих на использование Коронавируса в качестве заголовка, например, подделку имени Всемирной организации здравоохранения для нападения на судоходную компанию в Сингапуре с помощью «ЭКИПАЖА И КАРТЫ, ВЛИЯЮЩЕЙ НА ВИРУС КОРОНЫ. xlsm «компания

Нападение на украинский регион как подделка документов Всемирной организации здравоохранения  под названием «Коронавірусна інфекція COVID-19.doc»:

Подобные методы атаки принадлежат разным хакерским командам, распределенным в разных зонах жертв. Конечно, мы не думаем, что эпидемия является причиной таких атак, но злоумышленники знают, как воспользоваться ситуацией. Они хороши в использовании этих горячих точек для запуска атак. Любая тема, которая может заинтересовать жертву, может стать точкой входа злоумышленника.

На этом этапе 360 Security Center рекомендует пользователям предупреждать о таких электронных письмах, которые используют различные актуальные темы, такие как «эпидемия»,  в качестве темы, и отправлять такие электронные письма профессионалам для анализа, чтобы обеспечить их безопасность и предотвратить такие атаки.

Ссылка:

[1] https://www.bromium.com/deobfuscating-ostap-trickbots-javascript-downloader/

[2] https://www.cert.pl/en/news/single/ostap-malware-analysis-backswap-dropper/

[3]https://www.who.int/docs/default-source/coronaviruse/situation-reports/20200303-sitrep-43-covid-19.pdf?sfvrsn=2c21c09c_2