恶意软件根据垃圾短信散播
从2020年第一季度逐渐,趋势科技的分析工作人员就跟踪到了与新冠疫苗有关的一波攻击。这种攻击包含但是不限于下列恶意软件:Emotet,Fareit,Agent Tesla和Remcos。受影响客户的国家包含美国,西班牙和德国。
Emotet
在Emotet的 C&C网络服务器被注销以前,科学研究工作人员检验到了一个垃圾短信主题活动,该活动散播了恶意软件,并采用了与新冠疫苗相关的谣言做为鱼饵。科学研究工作人员观查到这类 Emotet垃圾短信主题活动从1月初一直维持到同月24日。下列列举了一些电子邮箱配件的实例文件夹名称:
- Daily COVID reporting.doc
- DAILY COVID-19 Information.doc
- NQ29526013I_COVID-19_SARS-CoV-2.doc
- GJ-5679 Medical report Covid-19.doc
受Emotet危害的国家包含美国、西班牙和澳大利亚,而受影响较大的领域是保健医疗、加工制造业、商业银行和交通运输业。根据检验Trojan.W97M.EMOTET.SMTH,科学研究工作人员可以鉴别80好几个文本文档样版。事实上,文挡中也存有共同之处。下列是科学研究工作人员见到的一些电子邮箱主题风格:
COVID-19 Vaccine Survey
RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now
Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020
这一Emotet攻击主题活动应用了大概100个指令与操纵(C&C)网络服务器,这种是可以上溯到33个国家/地域的IP地址。大部分详细地址来源于美国、澳大利亚和法国的。在大量的垃圾短信主题活动产生后的几日,该特洛伊木马盗取程序流程的一些感柒没法再联络其C&C网络服务器,这事可归功于执法部门对以上恶意软件网络服务器的操纵。
Fareit
互联网犯罪分子进行了一场垃圾短信主题活动,根据电子邮箱散播Fareit恶意软件,用所说的攻击疫苗诱惑总体目标。Fareit可以在电脑浏览器、电子邮箱和FTP手机客户端等应用软件中盗取私人信息,如资格证书。应用的邮件主题如下所示:
- Corona-virus(COVID-19),Common vaccine
- Corona-Virus Disease (COVID-19) Pandemic Vaccine Released
- Latest vaccine release for Corona-virus(COVID-19)
普遍的配件文档如下所示:
- Corona-virus vaccine.arj
- COVID-19 VACCINE SAMPLES.arj
- COVID-19 Vaccine.arj
- vaccine release for Corona-virus(COVID-19)_pdf.rar
电子邮箱的发件人假冒是来源于世卫组织(WHO),并采用了大夫的名称。受影响较大的国家是德国、美国、西班牙、我国、意大利和非洲。
用以散播Fareit的垃圾短信样版
别的恶意软件
除开Emotet和Fareit外,别的恶意软件也用以散播新冠疫苗有关攻击。这包含特洛伊木马盗取程序流程,例如Lokibot,Agent Tesla和Formbook。还采用了Remcos,Nanocore等远程连接木马病毒(RAT)和Anubis等Android恶意软件。
据报道,2020年10月,勒索病毒变异根据假冒的新冠调研开展了散播。在网上哄骗电子邮件包括一份据悉对于澳大利亚一所高校的同学和师生员工的调研的配件,科学研究工作人员将其取名为Ransom.Win32.VAGGEN.A和Ransom.Win32.GOCRYPT.A。据报道,2020年11月,Zebocry仿冒了生产制造新冠疫苗的药业公司Sinopharm。攻击者应用了一个虚拟硬盘(VHD)文档,该文件传送了2个文档:一个用以国药演试ppt的PDF文档和一个以Microsoft Word文本文档方式出现的可执行程序。科学研究工作人员将其检验为Backdoor.Win32.ZEBROCY.AD,将域 support-cloud[.]life做为其C&C网络服务器。
侧门Remcos是根据一个文档掩藏而成的,据报道该文件包含相关新冠疫苗的详细资料。特斯拉汽车特务(Agent Tesla)掩藏在探讨新冠疫苗或痊愈方式的资料中,以获得试品或检测結果。AgentTesla 本来是一款在 2014 年公布的比较简单的键盘记录器,近些年其开发设计精英团队为其持续提高了很多新作用,并开展售卖。AgentTesla 已经变为一个商业化的的恶意程序,可利用操纵端转化成达到作用要求的恶意代码。
AgentTesla 最多见的传播媒介是钓鱼邮件,邮件附件中通常会带上故意文本文档,根据宏或漏洞检测免费下载运作木马程序。
钓鱼攻击和行骗
近期,一场以法国国民健康服务项目(NHS)之名的钓鱼攻击健身运动已经扩散。电子邮箱引诱客户确定她们接纳疫苗接种的邀约。无论点一下邀约的“接纳”或是“忽视”按键,电子邮箱都是会跳转到登陆页面。该网页页面表明了一个要求客户全称、出生年月、详细地址和手机号的表格。科学研究工作人员早已在法国、德国、美国和西班牙发觉了这类主题活动。
仿冒NHS电子邮件方式的互联网钓鱼邮件
近期在西班牙开展的另一次钓鱼攻击主题活动中,攻击者应用了一个装扮成医药学试验室“El Chopo”的网址,该网站看上去与合理合法试验室同样。它规定给予详细资料,例如名字、年纪、详细地址、性別、手机号和电子邮箱地址。新用户注册后,她们将得到国家疫苗接种卡的数字证书,并将被规定等候此卡的激话。据报道,根据该网址,客户可以预定疫苗接种,在付款2700墨西哥比索(折合130美金)后,她们会得到一个仿冒的确认信。该网址乃至带来了虚报联系电话,例如电子邮箱地址及其Facebook和WhatsApp网页页面,以开展一切查看。科学研究工作人员检验了IP代管的互联网诈骗网站,例如vacunacion.elchopo[.]mx, dinero-vacunacion.elchopo[.]mx, xn--vacunacin-d7a.elchopo[.]mx 和infra-medica[.]com。
钓鱼攻击网页页面
仿冒的网页页面由Google缓存文件给予
2020年9月,科学研究工作人员观查到了一次钓鱼攻击主题活动,其主题风格是用以行车安全疫苗的机器设备。它装扮成联合国儿童基金会对Gavi冷链物流机器设备优化平台(CCEOP)的购置,并另附一份价格规定。配件是一个表明钓鱼攻击网页页面的HTML文件。该主题活动有20个域,并采用了设在西班牙的代管IP地址。趋势科技阻拦了钓鱼攻击域,而且HTML文件被检查为Trojan.HTML.PHISH.TIAOOHWY。
假冒新冠疫苗新项目的钓鱼攻击电子邮箱实例
偏向垂钓网页页面的HTML配件
故意个人行为者仍在进行多起与疫苗有关的攻击。其范畴包含疫苗接种卡的派发、疫苗的市场销售、疫苗接种的预定等。DomainTools域名工具站已汇报了不法的CDC疫苗接种记录表,据悉该记录表在美国仅用以本人的疫苗接种证实。一些诈骗犯仍在其攻击主题活动中采用了短消息。
故意网站域名
2020年,DomainTools逐渐给予一份完全免费的、经方案策划的高危新冠有关域名列表,以在全世界身心健康困境期内为小区给予适用。应用此域目录(大部分含有关键词“covid”)和趋势科技™智能化安全防护互联网™的意见反馈,科学研究工作人员得到了75000个故意域的目录。域的类型包含恶意软件、钓鱼攻击、诈骗和低信誉度。
2022年,科学研究工作人员发觉含有关键词“疫苗”的故意域的建立呈持续上升发展趋势。依据DomainTools的汇报,从2020年11月逐渐,含有“疫苗”一词的域的建立猛增。另一方面,自2020年6月至今,含有“covid”一词的网站域名总数有一定的降低。在科学研究员工的研究中,科学研究工作人员鉴别出大概1000个含有关键词“疫苗”的故意网站域名。 2020年11月,对于攻击疫苗的仿造制药业商标注册了100个网站域名,例如:
- Gam-COVID-Vac
- BioNTech’s BNT162 vaccine (COVID-19 mRNA vaccine)
- EPI - VAK - KORONA
- PiCoVacc
- Sputnik V
不法赢利
互联网犯罪分子还构建了应用疫苗做为鱼饵的网址,2020年,vaccine-coronavirus[.]com交付使用。该网址在编写此文时仍处在没法载入情况,它以前被装扮成一所医科院的网址。据推断,客户可以从该网址应用BTC做为付款方式选购疫苗。
售卖新冠疫苗相片的骗局
影子网络给予的掩藏服务项目和匿名性使其变成网络攻击售卖不法疫苗的梦想场地。近期的一份汇报提到了一个影子网络,营运商宣称该网站建设了一种疫苗,不但可以选购,并且可以在全世界范畴内运送。
另一个暗网网站规定顾客将私人信息,乃至她们的进攻感柒情况和已经知道病症发送至一个电子邮箱地址。这种关键点也需要以BTC的方式递交。
此外,另一份汇报探讨了在地底社区论坛内以250美金售卖所说疫苗的状况。
暗网网站上的新冠疫苗骗局
近期疫苗骗局已经根据Facebook和Telegram散播,这令人堪忧,由于与之有关的一个电文服务平台早已有着4000多位订户。尤其值得一提的是,该方式据悉可以给予大品牌的疫苗。科学研究工作人员可以鉴别诈骗网站,并注意到最靠近的域名根据可以用的表述是域名deltaexpressairline[.]com,应用Delta Express搜索更多的诈骗网站,发觉了31个以上的域名。
Telegram服务平台上的新冠疫苗骗局
文中翻譯自:https://www.trendmicro.com/en_us/research/21/c/injecting-deception-covid-19-vaccine-related-threats.html倘若转截,请标明全文详细地址。