CoronaVirus Cyber Attack – Cibercriminosos visam vítimas em todo o mundo

Os spammers estão usando o surto de Coronavírus para espalhar malware por e-mail alegando ser “Oferecer informações sobre como se defender contra o vírus do mundo real” , de acordo com o Bleeping Computer, que atribuiu a campanha a Emotet.

Os cibercriminosos estão aproveitando os medos globais que cercam o mortal Coronavírus enviando e-mails carregados de malware, supostamente oferecendo orientação.

Várias campanhas de email foram detectadas pelas empresas de segurança que monitoram as ameaças mais recentes, e todas usam o coronavírus como um gancho para tentar fazer com que as vítimas abram as mensagens infectadas.

Os e-mails são disfarçados como notificações oficiais dos centros de saúde pública e vêm com anexos que prometem fornecer mais detalhes sobre medidas preventivas contra infecções por vírus corona.

Tipo de ameaça – Spam, malware, botnet

Visão geral

O assunto dos emails, bem como os nomes dos arquivos do documento, são semelhantes, mas não idênticos. Eles compuseram o diferentes representações da data atual e a palavra japonesa para “ notificação ”, a fim de sugerir urgência.

As tecnologias da Kaspersky encontraram arquivos maliciosos disfarçados de documentos relacionados ao coronavírus recém-descoberto – uma doença viral que está no topo das manchetes da mídia devido à sua natureza perigosa.

Os arquivos maliciosos descobertos foram mascarados sob o disfarce de arquivos pdf, mp4 e Docx sobre o coronavírus. Os nomes dos arquivos indicam que eles contêm instruções em vídeo sobre como se proteger contra vírus, atualizações sobre ameaças e até procedimentos de detecção de vírus, o que não é realmente o caso.

Na verdade, esses arquivos continham uma série de ameaças, de cavalos de Tróia a worms, capazes de destruir, bloquear, modificar ou copiar dados, além de interferir na operação de computadores ou redes de computadores.

“O coronavírus, que está sendo amplamente discutido como uma importante notícia, já foi usado como isca pelos cibercriminosos”, disse Anton Ivanov, analista de malware da Kaspersky.

Cenário 1: Mecanismo de defesa proativo em campanhas por email

Os cibercriminosos criam e-mails de phishing com este Coronavírus como o assunto do e-mail ou colocam no corpo do e-mail para atrair as vítimas a clicar em links ou baixar arquivos indesejados.

As organizações devem implantar políticas fortes e as equipes de segurança devem procurar por palavras-chave no gateway de email. Como é fácil atrair vítimas para uma armadilha.

Portanto, as organizações devem ser cautelosas ao encontrar e-mails com ” Coronavírus ” ou ” 2019-nCoV ” no corpo, no assunto ou nos links. Treine ou faça circular o aviso internamente para seus funcionários e entenda os pontos críticos dele.

Medidas proativas – Email Gateway

. Bloquear e-mails com o Assunto contém “Coronavírus” ou “2019-nCoV” ou “COVID-19” de qualquer fonte externa / parte desconhecida.
. Algumas organizações podem enviar emails internamente sobre eles, o que não deve ser bloqueado.
. Procure e-mails recebidos até o momento com o nome do sujeito como “Coronavirus” ou “2019-nCoV” e faça uma investigação sobre os dados ou links em e-mails externos.
. Procure e-mails recebidos até o momento com “Coronavirus” ou “2019-nCoV” incorporado no corpo da mensagem e faça uma investigação sobre os dados ou links em e-mails externos.

Cenário 2: Hipótese de busca de ameaças para domínios recém-registrados

Alguns atores de ameaças já começaram a usar esses parâmetros para atingir seu objetivo. Um ator recente de ameaça “Vicious Panda: The COVID Campaign” – a Check Point Research descobriu uma nova campanha contra o setor público da Mongólia, que tira proveito do atual susto do Coronavírus, a fim de entregar um implante de malware anteriormente desconhecido ao alvo.

O número de domínios recém-registrados relacionados ao coronavírus aumentou desde que o surto se tornou mais generalizado, com os agentes de ameaças criando infra-estrutura para suportar campanhas maliciosas referentes ao COVID-19. Foi observado como 5000+.

O pico inicial nos registros de domínio coincidiu com um grande aumento nos casos relatados de COVID-19 em meados de fevereiro – um possível indicador de que os invasores podem ter começado a perceber a utilidade do COVID-19 como vetor de ataque cibernético. A maioria dos domínios está estacionada.

Medidas proativas

Crie uma regra para monitorar o tráfego de entrada / saída desses domínios na sua rede. Esses domínios recém-registrados são bastante complicados e você não conhece a intenção, a menos que seja direcionado. Como uma abordagem proativa, procure essas palavras-chave nos logs de proxy / DNS / firewall. Concentre-se em nomes de domínio, não em TLD e URLs.

Exemplo:
www.corona-covid.com/coronavirus-update.html

Os parâmetros acima para entender:
“Corona-covid” é o nome de domínio
“.com” é o TopLevelDoamin [TLD]
“/coronavirus-update.html” é o caminho [URL].
      Ao todo, é um site.

Informações sobre como criar defesa:

1.) Crie um caso de uso para monitorar se alguém ou qualquer arquivo está tentando chamar nomes de domínio com palavras-chave como “corona” ou “covid-2019”. Mas tenha cuidado neste cenário, não para URL ou site, pois ele gera muitos falsos positivos.
2.) Principalmente nos cenários de destino do domínio. Somente os nomes de domínio.
3.) Depois de ficarmos alertas, podemos entender os registros DNS / AAA que podemos concluir como suspeitos. Ele não gera muito ruído, mas ajuda a detectar alguma comunicação de retorno de chamada em tempo quase real, se alguma organização já estiver em tempo de espera.