冠状病毒已经改变了世界的面貌,限制了在餐馆用餐的无数人,从咖啡馆工作,并访问亲人。但对于网络犯罪分子而言,这种全球大流行正在扩大他们的视野。

在过去的一周里,Malwarebyt必威平台APPes发现了多个电子邮件诈骗,捕食了关于Covid-19的恐惧,不确定性和混乱,这是由新型冠状病毒引起的疾病。没有疫苗,并且随着世界上的大部分地区遭受强烈的社会疏松措施和近乎总锁定程序,威胁行动者正在洪水泛滥网络空间,并通过电子邮件提供医疗提示,保护饮食,以及最危险的措施。附加到威胁演员的电子邮件是各种欺诈性电子书,信息数据包和错过的发票,隐藏一系列键盘,赎金软件和数据窃取器。

问题扩展到纯净钓鱼骗局

3月14日,Twitter用户@dustyfresh发布了一个Web跟踪器找到了3,600冠心病和科迪德-19相关的主机名,在短短24小时内蹦出来

3月17日,安全研究员和Python Developer @sshell_建立了一个工具,由Thugcrowd的团队主办,为潜在的恶意,冠状病毒相关域提供实时扫描。只需点击链接并观看可能的骗局站点每分钟注册。

此外,RiskiQ据报道,上周末追踪了超过13,000个可疑的冠状病毒相关域,第二天也超过35,000个域名

但是,这些数字中的大部分意味着没有真实,有用的例子。是的,Coronavirus诈骗和诈骗网站在那里,但它们看起来像什么,以及他们如何工作?我们在这里解释。

以下是许多电子邮件诈骗中的一些电子邮件诈骗,并在野外发现,有关他们所说的完整详细信息,必威平台APP他们说谎的是什么,以及他们试图在机器上安装哪些类型的恶意软件。好消息?必威平台APPMalwarebytes保护针对所描述的每一个威胁。

冒充世界卫生组织

本周早些时候,我们发现了一场电子邮件网络钓鱼活动由威胁演员犯下世界卫生组织(WHO)的威胁演员,其中之一总理科学资源在Covid-19上。这场竞选将假电子书推向受害者,为名为Guloader的下载者提供恶意代码。下载只是一个更复杂的方案的第一步。

自动生成手机描述的屏幕截图

我们写道:

“Guloader用于加载真实的有效载荷,信息窃取木马名为Formbook,在Google Drive上存储以编码格式。Formbook是最受欢迎的信息窃贼之一根据其简单性及其广泛的功能,包括从Windows剪贴板,键盘跳闸和窃取浏览器数据的刷新内容。被盗数据被发送回由威胁演员维护的命令和控制服务器。“

不幸的是,这个Guloader骗局只是威胁演员作为谁专业人士作为一种方法来诱骗诱惑下载恶意附件的方式之一。

3月18日,我们发现了一项电子邮件活动,将受害者推入不知不觉地下载一个名为Agent Tesla的侵入式键盘。钥匙杆记,经历了报道2018年三个月的活动增加100%,可以窃取各种敏感数据。

随着持久性的网络安全研究人员写道:“作为全功能信息偷窃师,[代理Tesla]能够从不同的浏览器,邮件和FTP客户端提取凭据。它记录键和剪贴板数据,捕获屏幕和视频,并执行表格抓取(Instagram,Twitter,Gmail,Facebook等)攻击。“

我们星期三追踪的代理Tesla活动涉及与主题行的电子邮件:Covid19“最新的提示,以避免病毒!

据称,电子邮件来自谁,来自谁,发件人电子邮件地址为“sarah@who.com”。请注意,当发件人在电子邮件地址结束时,发送方的电子邮件地址以“.com”结束。

自动生成手机描述的屏幕截图

该电子邮件声称包含有关“各种饮食和提示的PDF文件,以使我们能够与病毒进行安全。”它由“博士”签字Sarah Hopkins,“一个支持的媒体关系顾问。

快速在线搜索揭示了谁有与其媒体关系代表联系的公共网站那些代表都没有被称为Sarah Hopkins。另外,请注意如何“博士Hopkins“有一个不起作用的电话号码,+1 470 59828.调用来自美国的电话号码,导致移动服务提供商的错误消息。

有趣的是,上面的骗局只是电子邮件活动的一个例子,既冒充了谁试图提供代理人Tesla。

在同一天,我们找到了上述代理人Tesla诈骗,我们另一个反映了其策略和有效载荷的另一个

第二代理Tesla诈骗将个人的收件箱与电子邮件主题线“世界卫生组织/让我们一起打电话的斗争致敬”。

已经,Savvy读者应该发现一个缺陷。在本周的Gulwarebytes实验室覆盖的Guloader诈骗中,在“Vorona”和“Virus”之间放置了不必要的空间,镜像类似的语法错误,这是一个不必要的连字符。必威官方登录备用必威平台APP

自动生成手机描述的屏幕截图

在逐字中的电子邮件读取的整个身体:

我们意识到Covid-19冠状病毒的蔓延可能会让您感到担忧,所以我们希望花点时间向您保证,您的安全和幸福仍然是我们绝对优先事项。

请放心,我们的团队正在努力工作,我们正在监测我们在我们所运营的所有国家的健康和政府当局密切关注的情况和发展。见附加谁,以保持健康的重要信息。

我们亲自感谢您的理解,并向您保证,我们将尽最大限度地限制中断,这一活动带来了您的旅行计划,同时保持您的幸福我们的首要任务。

此活动试图使受害者在Coronavirus上下载一个假信息包,其中文件标题“Covid-19推荐v.gz”。对受害者感染代理人特斯拉而不是值得信赖的信息。

虽然这个广告系列不包括诸如假媒体代表和假电话号码的许多烟雾和镜像策略,但它仍然只需通过激发围绕Covid-19的恐惧来造成严重的伤害。

最后,我们找到了推动NetWire的模仿者远程访问木马(RAT)。大鼠可以允许黑客从远程位置获得未经授权访问机器的机器。

当我们在大鼠威胁中心概况中解释,这些类型的木马可以具有毁灭性的影响:

如果在系统上找到远程访问特洛伊木马程序,则应假设任何个人信息(已在受感染的机器上访问)已受到影响。用户应立即从清洁计算机上更新所有用户名和密码,并通知适当的系统管理员潜在的妥协。在接下来的几个月内仔细监控信用报告和银行陈述,以发现对财务账户的任何可疑活动。

NetWire广告系列包括一个奇怪的电子邮件地址的Slapdash Combo,一个官方观看的谁在电子邮件的身体内徽标,以及大量的错字。

自动生成手机描述的屏幕截图

从“博士”发送Stella Chungong“使用电子邮件地址”brennan@caesars.com“,电子邮件主题是”安全Covid-19(冠状病毒病毒)意识 - 安全措施“。文本的正文读取:

可能引起关注的人,

通过ATTAC = ED文件关于关于Corona病毒扩散的安全措施。

常见的症状包括发烧,咳嗽,呼吸短缺,呼吸= G困难。

问候。

Stella Chungong博士

专家呐喊=病毒咨询

错位的“=”字符应该立即为潜在的受害者提高红旗。这些常见的错误显示出各种恶意电子邮件活动,因为威胁演员似乎在“首先发送,稍后发送的拼写检查”的心态下运作。

其他MALSPAM竞选活动

我们在线发现的大多数冠状病毒诈骗都是示例马尔帕姆-Maliach垃圾邮件宣传,将线路从个人信息,蛇油推销机构越过彻头彻尾的恶意软件交付。

以下是许多MALSPAM活动,即我们3月15日以来发现的威胁情报团队。

首先是这个奇怪的电子邮件标题“RE:由于爆发了酷酷发起人”营销“到了用户的收件箱,并通过电子邮件地址为”info@bcsl.co.ke“。谷歌搜索显示,BCSL.CO.KE似乎指向Boresha Credit Service Limited,这是一个基于肯尼亚的债务收藏家。

自动生成手机描述的屏幕截图

短电子邮件读取:

你好,

我们的客户已被指示向您转移。

我们无法在您的银行帐户信息中的SWIFT代码中处理您的付款是错误的,

请参阅附带发票和正确的Swift代码,以便我们在银行关闭之前尽快付款。“

再次,仔细审查电子邮件的详细信息在其真实性中显示出漏洞。

该电子邮件由“Rafhana Khan”签署了来自阿拉伯联合酋长国的“Rafhana Khan”的一个“管理员行政”。电子邮件发件人包含此额外的信息,导致我们无处可行:TRN No.100269864300003。

什么是trn,为什么会包括在内?尽可能地,我们可以假设这是个人的“税收登记号码”,但是思考最后一次任何人签署了一封与美国同等税号的电子邮件。你可能从未见过这样,对吗?那是因为税号是私有的,而不是在电子邮件签名中共享。我们可以假设威胁参与者包括这个虚假的信息,以增加一些想象的可信度。真的,这只是废话。

电子邮件的附加发票再次将Guloader推向潜在的受害者。

另一个斑点的MALSPAM示例推动了Guloader或Agent Telsa。相反,它试图欺骗用户下载名为hawkeye的恶意软件是一个自从2013年以来困扰用户的凭证偷窃师。

根据网络安全新闻出口安全事务,Hawkeye“在各种黑客攻击论坛上提供销售,作为钥匙杆和偷窃师,[和]允许监控系统和exfiltrate信息。”

Hawkeye Scam从被指控发件人的主题线“Corona病毒治愈的电晕病毒治疗”的电子邮件中包装“jins(电晕病毒)。”再次,潜在的受害者收到短信。整个电子邮件正文读取:

亲爱的先生/马,

请阅读附加的文件,以便您对电晕病毒的快速补救措施。

电子邮件发件人列出了他们的工作地点作为不存在的拼写错误的研究医院Isreal,地址No 29耶路撒冷街,P.O.c 80067,Isreal。

自动生成的社交媒体的屏幕截图

3月15日,我们还发现了一封电子邮件骗局着英国的受害者,并再次推动了Guloader。这次,威胁演员承诺有关英国确认的冠状病毒案件数量的更新统计数据。

恶意电子邮件来自发件人“phe”,通过电子邮件地址agis@mfa.go.ke,如上面的一个例子,似乎来自肯尼亚。

自动生成手机描述的屏幕截图

因为威胁演员有一个,所以在这些类型的运动中展开的策略 - 放在低努力中 - 电子邮件的内容简单而简短。电子邮件读取:

来自公共卫生当局的最新数据关于Covid-19在英国的传播。

了解您附近有多少件案例。

没有电子邮件签名,甚至没有问候语。谈到缺乏电子邮件礼仪。

最后,我们在3月18日找到了另一个竞选活动针对西班牙的西班牙语受害者。电子邮件,标题为“Vacuna Covid-19:准备La Vacuna en Casa Para Usted Y Su Familia Para Evitar Covid-19”,推动古罗具。

自动生成的社交媒体的屏幕截图

该电子邮件由“Adriana Erico”签署,谁没有提供电话号码,但确实提供了93 784 50 17的传真号码。与我们上面测试的假电话号码不同,我们无法测试此传真号码的真实性,因为B.ay Area is under a shelter-in-place order, and, truthfully, I don’t own a fax machine in my home.

保护自己

威胁演员总是在寻找下一场危机为自己的攻击杠杆。因为他们,冠状病毒呈现出近乎完美的风暴。关于准确的确认案件,测试可用性和社会疏远期间最佳实践的合法困惑使得一个可怕的公众,渴望答案随处答案。

就像我们说的那样上次我们看着Covid-19骗局,信息的最佳地点仍然是世卫组织和美国疾病控制和预防中心(CDC)。

您可以找到有关确认的Covid-19案件的更新统计信息谁的日常,情况报告了这里

您还可以找到关于谁的冠状病毒神话的信息神话破坏者网页以及它的问答页面

为了帮助防止疾病的传播,请记住,洗手至少20秒,不要触摸你的脸,并通过维持距离您家中的人六英尺距离六英尺来练习社会偏移。

这很困难,这是新的,对于我们们许多人来说,它呈现出改变生活的转变。重要的是要考虑一下,现在,作为全球社区的捆绑是我们在击败这方面的最佳射击。这种建议也延伸到在线世界。

虽然冠状病毒可能会带来网络犯罪分子最糟糕的事情,但它也在互联网上带来最好的。本周,一个假设的“covid19跟踪器应用程序”用勒索软件感染无数用户的手机,要求受害者支付100美元来解锁他们的设备或风险完全删除其联系人,视频和图片。在关于赎金软件的消息后发布在Reddit上,用户对恶意应用程序进行了分解并发布了通用密码打败赎金软件。然后是密码在推特上共享为了每个人使用。

保持安全,每个人。