[Информационная безопасность, Исследования и прогнозы в IT] Инъекция обмана: вакцины от COVID-19 в мошеннических кампаниях

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
28-Апр-2021 19:31

Пандемия COVID-19 перевела в онлайн миллионы людей. Необходимость уменьшить физический контакт привела к тому, что большая часть жизни перешла в интернет, увеличив зависимость человечества от онлайн-платформ. На росте доверия к интернет-платформам расцвели массовые мошеннические кампании. Одним из наиболее популярных инфоповодов для этих кампаний стали вакцины. В этом посте расскажем о вредоносных программах, спаме, фишинговых схемах и сайтах, связанных с вакцинами от COVID-19.Спам-кампанииМы зафиксировали спам-кампании, использующие тему вакцин от ковида, уже в первом квартале 2020 года, даже до начала всемирного локдауна. Первыми подсуетились операторы вредоносов Emotet, Fareit, Agent Tesla и Remcos. EmotetСпам-кампания по распространению этого вредоноса началась сразу после Нового года и была направлена против предприятий здравоохранения, обрабатывающей промышленности, банков и транспортной отрасли в США, Италии и Канаде. Для распространения трояна использовались более 80 различных вариантов вредоносных документов, вложенных в письма. Их имена содержали слово «COVID» как основной фактор для привлечения внимания:
  • Daily COVID reporting.doc
  • DAILY COVID-19 Information.doc
  • NQ29526013I_COVID-19_SARS-CoV-2.doc
  • GJ-5679 Medical report Covid-19.doc
Вот некоторые темы писем, которые получали потенциальные жертвы:
  • COVID-19 Vaccine Survey;
  • RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now;
  • Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020.
Для проведения этой кампании использовались более ста серверов управления, расположенных в 33 странах. После того как эксперты по кибербезопасности провели операцию по перехвату управления этими серверами, кампания благополучно стихла.  FareitЭтот вредонос крадёт личную информацию и учётные данные, сохранённые в браузерах, клиентах электронной почты и FTP. Для его распространения также была организована спам-кампания, в которой использовались темы, связанные с вакцинами от ковида:
  • Corona-virus(COVID-19),Common vaccine;
  • Corona-Virus Disease (COVID-19) Pandemic Vaccine Released;
  • Latest vaccine release for Corona-virus(COVID-19).
Имена вложений к письмам также содержали упоминания вакцины от COVID:
  • Corona-virus vaccine.arj
  • COVID-19 VACCINE SAMPLES.arj
  • COVID-19 Vaccine.arj
  • vaccine release for Corona-virus(COVID-19)_pdf.rar

Пример одного из вредоносных писем, отправленных операторами Fareit. Источник (здесь и далее): Trend MicroВ качестве адресов отправителей злоумышленники использовали представителей ВОЗ и имена врачей. Больше всего от Fareit пострадали Германия, США, Италия, Китай, Испания и Израиль.ОстальныеТему вакцин от коронавируса активно эксплуатировали и операторы других вредоносов, например, Lokibot, Agent Tesla, Formbook, Remcos, Nanocore.В ноябре 2020 года операторы вымогателя Zebocry рассылали вредонос, выдавая себя за фармацевтическую компанию Sinopharm, которая производит вакцины COVID-19. Для распространения кода злоумышленники использовали файл виртуального жёсткого диска (VHD), содержащий два файла: PDF с презентацией Sinopharm и документ Microsoft Word с вредоносными макросами.Фишинг  Дефицит вакцин в Европе и США привёл к тому, что люди, напуганные болезнью, стали искать способы быстрее получить спасительный укол. Спросом не замедлили воспользоваться мошенники. Одна из таких кампаний проводилась от имени Национальной службы здравоохранения Великобритании (NHS). Фишинговое письмо приглашало на вакцинацию и предлагало пользователю подтвердить согласие.
Фишинговое письмо от NHS с приглашением на вакцинациюНезависимо от того, нажал ли пользователь ссылку «принять» или «отклонить приглашение», он попадал на целевую страницу с формой, в которую ему предлагалось ввести полное имя, дату рождения, адрес и номер мобильного телефона. Мы обнаружили эту кампанию в Великобритании, Германии, США и Нидерландах.Другая кампания, ориентированная на граждан Мексики, маскировалась под настоящую медицинскую лабораторию Chopo. Фишинговый сайт был внешне идентичен настоящему.
Фишинговый сайт «медицинской лаборатории Chopo» Жертвам предлагалось указать имя, возраст, адрес, пол, номер мобильного телефона и адрес электронной почты. После «регистрации» они должны были получить цифровой сертификат Национальной карты вакцинации, после чего им предлагалось дождаться активации карт. Через этот же сайт пользователи якобы могли записаться на вакцинацию, для подтверждения записи требовалось заплатить 2700 мексиканских песо (около 130 долларов США). На странице даже присутствовали фальшивые контакты: адреса электронной почты, страница в Facebook и номер WhatsApp для консультаций.Ещё одна фишинговая кампания, обнаруженная в сентябре 2020 года, была связана с оборудованием для безопасной и надёжной транспортировки вакцин: мошенники рассылали письма, замаскированные под коммерческое предложение; вложение представляло собой HTML-файл с фишинговой страницей.
Фишинговое письмо с «коммерческим предложением» оборудования для транспортировки вакцинЭто далеко не полный перечень всех вариантов фишинговых кампаний на тему вакцин и вакцинации, с которыми мы столкнулись в течение пандемии. Фантазия мошенников практически не знает границ. Они предлагают приобрести справки о вакцинации, место в очереди на вакцинацию и сами вакцины для индивидуального применения. Стоимость фальшивых справок о вакцинации в США составляет 20 долларов США, а за «мелкий опт» в четыре фальшивки предусмотрена скидка — они обойдутся всего в 60 долларов США. Некоторые мошенники проводят SMS-разведку, выдавая себя за фармацевтическую фирму. В сообщении говорится о том, что получатель имеет право на вакцинацию, но для этого требуется зарегистрироваться по контактному номеру. Тем, кто звонил по номеру, сообщалось, что запись на вакцинацию платная и предлагалось заплатить небольшую сумму. МошенничествоВ 2020 году DomainTools начал предоставлять бесплатный курируемый список потенциально вредоносных доменов, связанных с COVID-19. Используя этот список доменов и данные Trend Micro Smart Protection Network, мы составили список из 75 000 доменов, которые могут использоваться для распространения вредоносных программ, фишинга и мошенничества.В 2021 году мы наблюдали рост числа вредоносных доменов с ключевым словом «вакцина». По данным отчёта DomainTools, этот всплеск начался уже в ноябре 2020 года. При этом с июня 2020 года количество доменов со словом «covid» сокращается. В ходе нашего анализа было выявлено около 1000 вредоносных доменов с ключевым словом «вакцина». Например, в ноябре 2020 г. было зарегистрировано 100 доменов, имитирующих названия торговые марки различных вакцин от коронавируса:
  • Gam-COVID-Vac
  • BioNTech’s BNT162 vaccine (COVID-19 mRNA vaccine)
  • EPI - VAK - KORONA
  • PiCoVacc
  • Sputnik V
На такие домены устанавливают сайты-приманки, подобные, например, мошенническому сайту, замаскированному под сайт медицинского университета. На этом сайте посетителям предлагалось купить вакцины, оплатив их криптовалютой. Самое удивительное, что не было никаких гарантий подлинности вакцины или того, что покупатели в принципе получат что-то после оплаты.
Мошеннический сайт, торгующий вакцинойАнонимность даркнета сделала его идеальным местом для киберпреступников, которые торговали нелегальными вакцинами. В недавнем отчёте упоминается о сайте, операторы которого утверждали, что разработали вакцину, которая не только готова к покупке, но и доступна для отправки по всему миру.На другом подобном сайте покупатели вакцины предварительно должны были отправить по электронной почте свои личные данные и даже сведения об инфицировании коронавирусом и других болезнях. Оплата также принималась в биткоинах.
Обсуждение вакцины от коронавируса на одном из сайтов ДаркнетаНовым трендом стало распространение афер с вакцинами через Facebook и Telegram. Один мошеннических Telegram-каналов имеет более 4 тыс. подписчиков и предлагает вакцины известных брендов.
Телеграм-канал, предлагающий купить любые вакцины с доставкой Доверчивых покупателей канал перенаправлял на мошеннический ресурс, замаскированный под сайт службы доставки Delta Express. РекомендацииСледствием продолжающегося кризиса в области здравоохранения в Европе и США является то, что люди ищут способы купить вакцину. Однако активные граждане должны соблюдать осторожность, поскольку этой тенденцией пользуются мошенники. Что ещё более важно? поддельные вакцины могут нанести вред здоровья в том случае, если мошенники на самом деле доставят хоть что-то после получения оплаты.И хотя в российских реалиях не наблюдается ни многомесячных очередей на вакцинацию, ни дефицита вакцин, люди также могут стать жертвами мошенников, попытавшись, например, купить «проверенную» вакцину Pfizer вместо российского «Спутника-V». Вакцинно-коронавирусное мошенничество приняло такой размах, что необходимо проявлять бдительность в отношении информации, циркулирующей в сети. Вот некоторые советы по выявлению дезинформации:
  • получайте информацию о вакцинах из доверенных источников, в качестве которых могут выступать местные органы здравоохранения и медицинские учреждения;
  • подумайте, прежде чем нажимать на ссылку с заманчивым предложением, избегайте пересылки связанных с COVID-19 писем или обмена сообщениями, не проверив их с помощью авторитетных поисковых систем и новостных сайтов, — это позволит сдержать распространение мошенничества и ложной информации;
  • выявляйте поддельные или вредоносные электронные письма и сайты — признаками подделки могут быть опечатки, грамматические ошибки, неправильные названия и логотипы известных учреждений — хотя этот способ работает не всегда, поскольку некоторые мошенники используют качественные копии легальных электронных писем, сайтов и платформ, используемых официальными организациями; лучше всего перепроверить информацию на официальных сайтах и в социальных сетях;
  • посещайте тренинги по кибербезопасности: повышение осведомлённости об интернет-мошенничестве и других видах дезинформации может помочь в выявлении этих схем.
В качестве средства для обнаружения дезинформации, мошенничества и подобных онлайн-угроз можно воспользоваться бесплатной многоплатформенной утилитойTrend Micro Check — она базируется на искусственном интеллекте и обеспечивает обнаружение ссылок на мошенничество, проверку безопасности электронной почты, текстовых, визуальных и аудиоданных на предмет выявления дезинформации, а также проверку достоверности новостей в новостных выпусках. С момента запуска она уже выявила более 2 млн случаев мошенничества и 3 млн случаев дезинформации.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_issledovanija_i_prognozy_v_it (Исследования и прогнозы в IT), #_trend_micro, #_kiberbezopasnost (кибербезопасность), #_vaktsina_covid19 (вакцина covid-19), #_moshennicheskij_sajt (мошеннический сайт), #_fishing (фишинг), #_spamkompanii (спам-компании), #_pandemija_covid (пандемия covid), #_kiberprestupnost (киберпреступность), #_blog_kompanii_trend_micro (
Блог компании Trend Micro
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_issledovanija_i_prognozy_v_it (
Исследования и прогнозы в IT
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 06:39
Часовой пояс: UTC + 5