COVID-19被用于各种恶意活动,包括电子邮件垃圾邮件、BEC、恶意软件、勒索软件和恶意域。随着感染人数的激增,以疾病为诱饵的数以万计的恶意操作也在激增。趋势科技研究人员定期从与COVID-19相关的恶意活动中获取样本。该报告还包括其他研究人员的测试结果。提及当前的恶意攻击对于威胁行为者来说并不是什么新鲜事,他们在其社会工程策略中反复利用热门话题、场合和流行人物的时效性。2020年第三季度,COVID-19依然占据头条,趋势科技的监测显示,以该病毒为诱饵的网络威胁在9月份呈指数级增长。恶意活动的激增恰逢社会工程策略的变化——犯罪分子没有使用COVID-19信息来欺骗用户,而是使用与冠状病毒相关的学校更新数据。例如,作为针对病毒的安全措施的一部分,许多学校都要求提供更多有关学生健康的信息。10月下旬,安全公司MalwareBytesLab在不列颠哥伦比亚大学(UBC)员工的虚假健康调查中发现了隐藏的勒索软件。网络钓鱼电子邮件中使用的标头也发生了变化。恶意攻击者不再以COVID-19为主题,而是使用与工作机会相关的标题来诱骗用户打开垃圾邮件。许多因疫情造成的经济衰退而失去工作的人都渴望找到工作机会。威胁攻击者利用人们的痛点并诱使他们上当受骗。源自COVID-19垃圾邮件的网络威胁受疫情影响,全世界的工作方式都在发生变化。日常工作的许多方面,从会议到演示和协作任务,都已转移到网上。随着用户适应新的工作方式,他们应该警惕在线使用的在线工具、共享软件和诈骗文件附件。趋势科技研究院早在2020年2月就发现有人向用户发送带有恶意附件的冠状病毒相关电子邮件。与COVID-19相关的早期恶意电子邮件现在紧随其后的是使用该疾病作为诱饵的商业电子邮件妥协(BEC)诈骗。BEC计划通常通过诱骗目标公司将资金转移给伪装成同一公司内部人员的犯罪分子来发挥作用。以下电子邮件使用持续的健康危机来推动他们采取紧急行动。使用COVID-19的BEC电子邮件示例我们还发现了声称来自救济或卫生组织的电子邮件,要求捐赠比特币。这些电子邮件是由一个自称是“COVID19Fund”的组织发送的,据说该组织与合法的卫生组织有关联。他们寻求援助并提供人们可以捐赠的加密货币钱包。恶作剧电子邮件中的文本请求世界卫生组织的协助趋势科技研究人员还获得了发送到世界各地的电子邮件样本,包括美国、日本、俄罗斯和中国。许多据称来自官方组织的电子邮件包含与该疾病相关的更新和建议。与大多数电子邮件垃圾邮件攻击一样,它们也包含恶意附件。其中一个样本使用了电子邮件主题“CoronaVirusLatestUpdates”,并声称来自卫生部。它包含有关如何预防感染的建议,并附带一个附件,其中可能包含有关COVID-19的最新更新,但实际上包含恶意软件。据称来自卫生部的与COVID-19相关的垃圾邮件许多垃圾邮件都与航运交易有关,要么是由于疾病传播造成的延误,要么是提供航运更新。通知发货延迟的电子邮件。该附件据称包含新发货时间表的详细信息,实际上包含恶意软件。假设电子邮件来自日本,它会用日语写详细信息。关于与COVID-19相关的垃圾邮件的垃圾邮件还采样了其他外语,例如意大利语和葡萄牙语。意大利语的电子邮件包含有关该病毒的重要信息,而葡萄牙语的电子邮件则讨论了一种推定的COVID-19疫苗。意大利语中与COVID-19相关的垃圾邮件葡萄牙语中与COVID-19相关的垃圾邮件趋势科技研究人员发现了一个针对中国和意大利的垃圾邮件样本,其中提到针对电子邮件主题行中的COVID-19治愈方法来欺骗用户下载恶意附件。进一步检查显示,附加的有效负载样本是HawkEyeReborn,这是信息窃取HawkEye木马的更新版本。该文件是编译成可执行文件的高度混淆的AutoIT脚本。然后该脚本将恶意代码注入RegSvcs.exe。转储注入的代码将生成一个.NET可执行文件,也可以使用ConfuserEx对其进行打包。HawkEye样本的部分解密配置包括电子邮件地址和邮件服务器,它将在其中发送窃取的数据。HawkEyeRebornCOVID-19垃圾邮件趋势科技研究人员还检测到其他针对意大利的垃圾邮件样本。这一次,在电子邮件的主题中没有提到这种疾病,而是在URL中。主题改为包含单词“Fattura”(意大利语“发票”的意思)、发票编号和预计日期。该电子邮件包含一个恶意软件附件,该附件执行了一个PowerShell命令,该命令将从与COVID-19相关的URL下载文件。URL是hxxps://recoverrryasitalycovid-19.xyz/over进一步调查显示,该恶意软件使用EvilClippy(一种用于创建恶意MSOffice文档的工具)来隐藏其宏。意大利语垃圾邮件链接到与COVID-19相关的URL而且,由于意大利仍然是受COVID-19打击最严重的国家之一,威胁行为者也通过另一个垃圾邮件活动继续攻击用户。趋势科技研究人员检测到6,000多起垃圾邮件事件。电子邮件主题和正文以意大利语书写。主题翻译为“冠状病毒:有关预防措施的重要信息”。在邮件的正文中,发件人声称附件是一份由世界卫生组织(WHO)撰写的文件,并强烈建议读者下载附件中的损坏的MicrosoftWord文件。恶意文件包含特洛伊木马。针对意大利用户的垃圾邮件示例该文档包含以下消息详细信息,以诱使用户启用宏内容:记录(MBR),使其无法启动。捷克网络安全局(NUKIB)发布的一份公开报告详细介绍了该恶意软件。恶意软件文件的描述包括“冠状病毒安装程序”。恶意软件文件详情恶意软件锁屏当恶意软件执行时,它会自动重启计算机,然后显示一个无法关闭的病毒主题窗口。窗口右上角的常规退出按钮不起作用。单击左下角的“帮助”按钮将弹出一条消息,通知用户无法启动任务管理器。右下角的“RemoveVirus”按钮似乎提供了一个解决方案,但它是灰色的,无法点击。即使连接到互联网,该按钮仍然无法点击。该恶意软件还创建了一个名为“COVID-19”的隐藏文件夹,其中包含多个辅助模块。手动重新启动系统将执行另一个二进制文件并显示如下所示的灰色屏幕。手动重启后Covid-19文件夹的内容灰屏该恶意软件备份原始MBR并放置文本“CreatedbyAngelCastillo”。您的PC在设备屏幕上显示为“计算机已损坏”。它还在Discord上留下联系信息,这意味着受害者需要与黑客沟通以找到解决方案。勒索软件通常会向受害者提供资金转账详细信息,包括特定金额和受害者将资金存入的加密货币钱包。然而,最近的案例研究发现,许多恶意软件分发者已开始使用Discord向受害者提供特定说明。许多攻击者只是在进程开始时擦除MBR,因此这种方法似乎过于复杂。辅助模块释放的文件“Update.vbs”提供了关于其创建者为何以这种方式设计进程的线索。此VBS文件将显示一个消息框,指示用户需要Internet连接(可能在灰色屏幕出现两分钟后)。推动用户连接到Internet的屏幕可能添加了更多步骤以使用户连接到Internet,这可能是因为受害者需要在线才能覆盖MBR。在封闭的离线环境中进行测试时,MBR在手动重启期间未被覆盖。趋势科技研究还分析了一个可能来自SideWinderAPT组织的以冠状病毒为主题的恶意HTA文件。根据指挥和控制基础设施及其与巴基斯坦军方的联系,SideWinder可能使用了冠状病毒作为诱饵。SideWinder是一个针对军事实体的活跃组织。他们最近一次值得注意的活动是在1月,当时我们发现并有证据表明他们是GooglePlay上一款恶意应用的幕后黑手。HTA文件包含一个弹出式PDF诱饵,显示点击诱饵标题和巴基斯坦军队的图像。它已连接到以下恶意URL(已被趋势科技阻止):hxxp[://www.d01fa[.net/plugins/16364/11542/true/true/xxp[://www.d01fa[.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.htahxxps[://cloud-apt[.net/202/6eX0Z6GW9pNVk25yO0x7DqKJzaNm6LIRaR0GCukX/16364/11542/2a441439两个恶意网站研究人员的截图,由covid-antivirus网站报道[。]com)正在推广一款可以保护用户免受COVID-19侵害的应用程序。通过Malwarebytes博客报告的antivirus-covid19[.]网站现在无法访问。然而,截至目前,通过MalwareHunterTeam的推特帐户报告的网站corona-antivirus[.]com仍然活跃。这些网站声称他们的应用程序名为“CoronaAntivirus”,是哈佛大学科学家的作品。安装该应用程序会使系统感染BlackNETRAT恶意软件,然后将受感染的设备添加到僵尸网络。威胁行为者可以通过僵尸网络发起DDoS攻击、将文件上传到设备、执行脚本、截取屏幕截图、收集击键、窃取比特币钱包以及收集浏览器cookie和密码。美国司法部(DOJ)已针对欺诈网站coronavirusmedicalkit[.]com发布临时限制令。该网站据称销售经世界卫生组织批准的COVID-19疫苗包。但是,市场上没有经WHO批准的合法COVID-19疫苗。假冒网站要求4.95的运费。要求用户输入他们的信用卡信息以继续交易。该网站已被删除。BitDiscovery还发现使用术语“Corona”的域名数量显着增加。趋势科技研究人员将以下域确定为恶意域:acccorona[.]comalphacoronavirusvaccine[.]comanticoronaproducts[.]combeatingcorona[.]combeatingcoronavirus[.]combestcorona[.]combetacoronavirusvaccine[.]combuycoronavirusfacemasks[.]combyebyecoronavirus[.]comcdc-coronavirus[.]comcombatcorona[.]comcontra-coronavirus[.]comcorona-armored[.]comcorona-crisis[.]comcorona-emergency[.]comcorona-explained[.]comcorona-iran[.]comcorona-ratgeber[.]comcoronadatabase[.]comcoronadeathpool[.]comcoronadetect[.]comcoronadetection[.]com一个虚假的政府网站被发现引诱用户承诺提供援助或救济.下图显示了模仿合法“gov.uk”网站的uk-covid-19-relieve[.]com域。如果用户输入了正确的邮政编码,它将要求提供个人信息并收集用户的银行账户凭证。在虚假的英国政府救济网站上托管恶意文件的病毒相关域也仍然活跃。网站hxxps://corona-map-data[.]com/bin/regsrtjser346.exe加载了DanaBot银行木马,该木马能够窃取凭证并劫持受感染的系统。另一个最近的例子是hxxp://coronaviruscovid19-information[.]com/en。该网站鼓励您下载一款名为“如何摆脱冠状病毒”的移动应用程序,该应用程序有望治愈。网站宣传假冒应用程序恶意行为者还意识到世界各地的许多用户已被隔离,并花更多时间在网上寻找娱乐。他们使用虚假的流媒体网站或提供娱乐促销的网站来吸引用户。我们发现了域hxxps://promo-covid19-neftlix[.]ml,它实际上是一个用于窃取Netflix帐户凭据的钓鱼站点。一如既往,用户应始终了解他们经常使用的网站,并尽可能保护他们的在线帐户凭据。我们注意到的另一个域是hxxps://paypaluk-coronavirussupport.com,这是一个可能以英国PayPal用户的凭据为目标的虚假网站。该网站的URL格式是一个危险信号,表明它可能是恶意的,并表明该域不属于PayPal的合法所有。用户还应该通过查看公司的官方网站或社交媒体来检查此类网站,以寻找新域名正在运行的证据。根据URL的构建方式,一个非合法的PayPal域会附加到目标公司的名称,以使其看起来更有说服力。这与hxxps://promo-covid19-neftlix[.]ml使用的技术相同。4月初,趋势科技研究院继续发现更多钓鱼网站使用“冠状病毒”或“COVID-19”来吸引用户。恶意行为者伪装成合法组织以收集有价值的个人信息。以下是恶意网站用来欺骗数据的各种伪装的一些示例:世界卫生组织(WHO)伪造的COVID-19安全门户伪造的CDC等待名单伪造的加拿大/COVID-19紧急基金以下内容已被阻止并归类为钓鱼网站。mersrekdocuments[.]ir/Covid/COVID-19/index[.]phpbookdocument[.]ir/Covid-19/COVID-19/index[.]phplaciewinking[.]com/Vivek/COVID-19/teetronics[.]club/vv/COVID-19/glofinance[.]com/continue-saved-app/COVID-19/index[.]phpstarilionpla[.]website/doayyappantat[.]com/img/view/COVID-19/index[.]phpmortgageks[.]com/covid-19/cdc[.]gov.coronavirus.secure.portal.dog-office.online/auth/auth/login2.html恶意行为者仍在恶意文件中COVID-19或在标题中使用与冠状病毒相关的名称,以试图诱骗用户打开它们。一个例子是Eeskiri-COVID-19.chm(“eeskiri”是爱沙尼亚语),它实际上是一个伪装成COVID-19帮助站点的键盘记录器。如果解压,它会收集目标的凭据,设置键盘记录器,然后将所有收集到的信息发送到maildrive[.icu]。将键盘记录程序卸载到受害者系统的伪装文件-used-in-spam-malware-file-names-and-malicious-domains?_ga=2.182565350.1319579219.1610612606-1482036807.1514878063
