Os spammers estão usando o surto de Coronavírus para espalhar malware por e-mail alegando ser “Oferecer informações sobre como se defender contra o vírus do mundo real” , de acordo com o Bleeping Computer, que atribuiu a campanha a Emotet.
Os cibercriminosos estão aproveitando os medos globais que cercam o mortal Coronavírus enviando e-mails carregados de malware, supostamente oferecendo orientação.
Várias campanhas de email foram detectadas pelas empresas de segurança que monitoram as ameaças mais recentes, e todas usam o coronavírus como um gancho para tentar fazer com que as vítimas abram as mensagens infectadas.
Os e-mails são disfarçados como notificações oficiais dos centros de saúde pública e vêm com anexos que prometem fornecer mais detalhes sobre medidas preventivas contra infecções por vírus corona.
Tipo de ameaça – Spam, malware, botnet
Visão geral
O assunto dos emails, bem como os nomes dos arquivos do documento, são semelhantes, mas não idênticos. Eles compuseram o diferentes representações da data atual e a palavra japonesa para “ notificação ”, a fim de sugerir urgência.
As tecnologias da Kaspersky encontraram arquivos maliciosos disfarçados de documentos relacionados ao coronavírus recém-descoberto – uma doença viral que está no topo das manchetes da mídia devido à sua natureza perigosa.
Os arquivos maliciosos descobertos foram mascarados sob o disfarce de arquivos pdf, mp4 e Docx sobre o coronavírus. Os nomes dos arquivos indicam que eles contêm instruções em vídeo sobre como se proteger contra vírus, atualizações sobre ameaças e até procedimentos de detecção de vírus, o que não é realmente o caso.
Na verdade, esses arquivos continham uma série de ameaças, de cavalos de Tróia a worms, capazes de destruir, bloquear, modificar ou copiar dados, além de interferir na operação de computadores ou redes de computadores.
“O coronavírus, que está sendo amplamente discutido como uma importante notícia, já foi usado como isca pelos cibercriminosos”, disse Anton Ivanov, analista de malware da Kaspersky.
Cenário 1: Mecanismo de defesa proativo em campanhas por email
Os cibercriminosos criam e-mails de phishing com este Coronavírus como o assunto do e-mail ou colocam no corpo do e-mail para atrair as vítimas a clicar em links ou baixar arquivos indesejados.
As organizações devem implantar políticas fortes e as equipes de segurança devem procurar por palavras-chave no gateway de email. Como é fácil atrair vítimas para uma armadilha.
Portanto, as organizações devem ser cautelosas ao encontrar e-mails com ” Coronavírus ” ou ” 2019-nCoV ” no corpo, no assunto ou nos links. Treine ou faça circular o aviso internamente para seus funcionários e entenda os pontos críticos dele.
Medidas proativas – Email Gateway
. Bloquear e-mails com o Assunto contém “Coronavírus” ou “2019-nCoV” ou “COVID-19” de qualquer fonte externa / parte desconhecida. . Algumas organizações podem enviar emails internamente sobre eles, o que não deve ser bloqueado. . Procure e-mails recebidos até o momento com o nome do sujeito como “Coronavirus” ou “2019-nCoV” e faça uma investigação sobre os dados ou links em e-mails externos. . Procure e-mails recebidos até o momento com “Coronavirus” ou “2019-nCoV” incorporado no corpo da mensagem e faça uma investigação sobre os dados ou links em e-mails externos.
Cenário 2: Hipótese de busca de ameaças para domínios recém-registrados
Alguns atores de ameaças já começaram a usar esses parâmetros para atingir seu objetivo. Um ator recente de ameaça “Vicious Panda: The COVID Campaign” – a Check Point Research descobriu uma nova campanha contra o setor público da Mongólia, que tira proveito do atual susto do Coronavírus, a fim de entregar um implante de malware anteriormente desconhecido ao alvo.
O número de domínios recém-registrados relacionados ao coronavírus aumentou desde que o surto se tornou mais generalizado, com os agentes de ameaças criando infra-estrutura para suportar campanhas maliciosas referentes ao COVID-19. Foi observado como 5000+.
O pico inicial nos registros de domínio coincidiu com um grande aumento nos casos relatados de COVID-19 em meados de fevereiro – um possível indicador de que os invasores podem ter começado a perceber a utilidade do COVID-19 como vetor de ataque cibernético. A maioria dos domínios está estacionada.
Medidas proativas
Crie uma regra para monitorar o tráfego de entrada / saída desses domínios na sua rede. Esses domínios recém-registrados são bastante complicados e você não conhece a intenção, a menos que seja direcionado. Como uma abordagem proativa, procure essas palavras-chave nos logs de proxy / DNS / firewall. Concentre-se em nomes de domínio, não em TLD e URLs.
Os parâmetros acima para entender: “Corona-covid” é o nome de domínio “.com” é o TopLevelDoamin [TLD] “/coronavirus-update.html” é o caminho [URL]. Ao todo, é um site.
Informações sobre como criar defesa:
1.) Crie um caso de uso para monitorar se alguém ou qualquer arquivo está tentando chamar nomes de domínio com palavras-chave como “corona” ou “covid-2019”. Mas tenha cuidado neste cenário, não para URL ou site, pois ele gera muitos falsos positivos. 2.) Principalmente nos cenários de destino do domínio. Somente os nomes de domínio. 3.) Depois de ficarmos alertas, podemos entender os registros DNS / AAA que podemos concluir como suspeitos. Ele não gera muito ruído, mas ajuda a detectar alguma comunicação de retorno de chamada em tempo quase real, se alguma organização já estiver em tempo de espera.
Esperamos ver mais tráfego de e-mail malicioso com base no coronavírus no futuro, à medida que a infecção se espalhar. Provavelmente também incluirá outros idiomas, dependendo do impacto do surto de coronavírus nos falantes nativos. Nestas primeiras amostras, as vítimas japonesas provavelmente foram alvejadas devido à sua proximidade com a China. Infelizmente, é bastante comum os atores de ameaças explorarem emoções humanas básicas, como o medo – especialmente se um evento global já tiver causado terror e pânico.
Se previnam, na duvida, procure o departamento de TI. Se pergunte se solicitou aquele e-mail antes de abrir.
Quando os infratores aprendem, nós, defensores, evoluímos !!
Este site usa cookies para que possamos fornecer a melhor experiência possível para o usuário. As informações dos cookies são armazenadas no seu navegador e executam funções como reconhecê-lo quando você retorna ao nosso site e ajuda a nossa equipe a entender quais seções do site você considera mais interessantes e úteis.
Cookies estritamente necessários
Cookies estritamente necessários devem estar sempre ativados para que possamos salvar suas preferências para configurações de cookies.
Se você desativar este cookie, não poderemos salvar suas preferências. Isso significa que toda vez que você visitar este site, será necessário ativar ou desativar os cookies novamente.
Cookies de Terceiros
Este site usa o Google Analytics para coletar informações anônimas, como o número de visitantes do site e as páginas mais populares. Manter este cookie ativado nos ajuda a melhorar nosso site.
Por favor, habilite os cookies estritamente necessários primeiro para que possamos salvar suas preferências!