恶意软件通过垃圾邮件传播自2020年第一季度以来,趋势科技研究人员追踪了一波与COVID-19相关的攻击。这些攻击包括但不限于以下恶意软件:Emotet、Fareit、AgentTesla和Remcos。受用户影响的国家包括美国、意大利和德国。Emotet在Emotet的C&C服务器被关闭之前,研究人员检测到一个垃圾邮件活动,该活动传播恶意软件并使用与新冠疫苗相关的假新闻作为诱饵。研究人员从1月初到同月24日观察了这次Emotet垃圾邮件活动。下面列出了电子邮件附件的一些示例文件名:DailyCOVIDreporting.docDAILYCOVID-19Information.docNQ29526013I_COVID-19_SARS-CoV-2.docGJ-5679MedicalreportCovid-19.doc受Emotet影响的国家包括美国、意大利和加拿大,而受影响最严重的行业是医疗保健、制造业、银行业和运输业。通过检测Trojan.W97M.EMOTET.SMTH,研究人员能够识别出80多个文档样本。事实证明,文档文件也有相似之处。以下是研究人员看到的一些电子邮件主题:COVID-19疫苗调查RE:RE:COVID-19疫苗诊所与WalgreensToDoNowRe:#TuOficinaSegura。辉瑞anunciaVacunacontraelCovid。NovedadesOficinasYA!2020年10月10日Emotet活动使用了大约100个命令和控制(C&C)服务器,其IP地址可以追溯到33个国家/地区。大多数地址来自美国、加拿大和法国。在大规模垃圾邮件活动之后的几天,木马窃取程序的一些感染不再能够联系他们的C&C服务器,这可以归因于执法部门控制了所述恶意软件服务器。Fareit网络犯罪分子发起垃圾邮件活动,通过电子邮件传播Fareit恶意软件,用所谓的攻击疫苗引诱目标。Fareit能够窃取浏览器、电子邮件和FTP客户端等应用程序中的证书等个人信息。使用的电子邮件主题如下:Corona-virus(COVID-19),CommonvaccineCorona-VirusDisease(COVID-19)PandemicVaccineReleasedLatestvaccinereleaseforCorona-virus(COVID-19)常用附件如下:Corona-virusvaccine.arjCOVID-19VACCINESAMPLES.arjCOVID-19Vaccine.arjcorona-virus(COVID-19)疫苗发布_pdf.rar电子邮件的发件人假装来自世界卫生组织(WHO),并使用医生的名字。受影响最严重的国家是德国、美国、意大利、中国、西班牙和以色列。用于传播Fareit的垃圾邮件样本其他恶意软件除了Emotet和Fareit之外,其他恶意软件也被用于传播与COVID-19疫苗相关的攻击。这包括木马窃取程序,例如Lokibot、AgentTesla和Formbook。还使用了Remcos、Nanocore等远程访问木马(RAT)和Anubis等安卓恶意软件。据报道,2020年10月,勒索软件变体通过虚假的COVID-19调查传播。这些网络钓鱼电子邮件包含一项据称针对加拿大大学学生和教职员工的调查的附件,研究人员将其命名为Ransom.Win32.VAGGEN.A和Ransom.Win32.GOCRYPT.A。据报道,2020年11月,Zebocry假冒了生产新冠疫苗的制药公司国药集团。攻击者使用了一个存储两个文件的虚拟硬盘(VHD)文件:一个用于Sinopharm演示幻灯片的PDF文件和一个MicrosoftWord文档形式的可执行文件。研究人员将其检测为Backdoor.Win32.ZEBROCY.AD,域support-cloud[.]life作为其C&C服务器。后门Remcos通过一份文件进行伪装,据报道该文件包含有关COVID-19疫苗的详细信息。Tesla特工在讨论COVID-19疫苗或治疗方法的文件中提出,以获得样本或测试结果。AgentTesla最初是2014年发布的一个简单的键盘记录器,近年来其开发团队不断为其添加了许多新功能并出售。AgentTesla现在已经成为一种商业间谍软件,可以通过控制终端生成满足功能要求的木马程序。传播AgentTesla的最常见方式是网络钓鱼电子邮件。恶意文档通常携带在电子邮件附件中,通过宏或漏洞利用程序下载并运行恶意程序。网络钓鱼和诈骗最近,一场以英国国民健康服务(NHS)名义进行的网络钓鱼活动正在蔓延。该电子邮件诱使用户确认他们接受接种疫苗的邀请。无论单击邀请的“接受”还是“忽略”按钮,电子邮件都会重定向到登录页面。该页面显示了一个表单,要求提供用户的全名、出生日期、地址和手机号码。研究人员已在英国、德国、美国和荷兰检测到这种活动。伪造NHS邮件形式的网络钓鱼电子邮件在墨西哥最近的另一场网络钓鱼活动中,攻击者使用了一个伪装成医学实验室“ElChopo”的网站,该网站看起来与合法实验室完全相同。它要求提供详细信息,例如姓名、年龄、地址、性别、手机号码和电子邮件地址。用户注册后,将获得国家疫苗接种卡数字证书,并需等待卡片激活。据报道,用户可以通过该网站预订疫苗接种,在支付2,700墨西哥比索(约合130美元)后,他们会收到一封伪造的确认信。该网站甚至提供虚假的联系方式,例如电子邮件地址以及Facebook和WhatsApp页面以供查询。研究人员检测到IP托管的网络钓鱼站点,例如vacunacion.elchopo[.]mx、dinero-vacunacion.elchopo[.]mx、xn--vacunacin-d7a.elchopo[.]mx和infra-medica[.]com。网络钓鱼页面谷歌缓存提供的虚假页面2020年9月,研究人员观察到一场网络钓鱼活动,其主题是用于安全运输疫苗的设备。它伪装成联合国儿童基金会采购Gavi冷链设备优化平台(CCEOP),并包含一份报价请求。附件是一个显示网络钓鱼页面的HTML文件。该活动有20个域,并使用位于荷兰的托管IP地址。趋势科技阻止了钓鱼域,HTML文件被检测为Trojan.HTML.PHISH.TIAOOHWY。冒充COVID-19疫苗项目的网络钓鱼电子邮件示例HTML附件指向网络钓鱼页面恶意行为者仍在发起多种与疫苗相关的攻击。其范围包括疫苗接种卡的分发、疫苗的销售、疫苗接种的预约等。DomainTools曾报告过非法的CDC疫苗接种记录卡,据称这些卡在美国仅用作个人疫苗接种证明。一些诈骗者还在他们的活动中使用短信。恶意域2020年,DomainTools开始提供免费的精选高风险COVID-19相关域列表,以在全球健康危机期间为社区提供支持。使用此域列表(大多数带有关键字“covid”)和来自TrendMicro?SmartProtectionNetwork?的反馈,研究人员得出了一个包含75,000个恶意域的列表。域的类别包括恶意软件、网络钓鱼、欺诈和低信誉。今年,研究人员发现使用关键字“疫苗”创建的恶意域有所增加。根据DomainTools的一份报告,从2020年11月开始,使用“疫苗”一词创建的域数量激增。另一方面,自2020年6月以来,带有“covid”一词的域名数量有所减少。在研究人员的分析中,研究人员发现了大约1000个带有关键字“疫苗”的恶意域名。2020年11月,针对攻击疫苗的仿制药品牌注册了100个域名,例如:Gam-COVID-VacBioNTech的BNT162疫苗(COVID-19mRNA疫苗)EPI-VAK-KORONAPiCoVaccSputnikV非法获利网络犯罪分子还使用以疫苗为诱饵,2020年,vaccine-coronavirus[.]com上线。该网站在撰写本文时仍无法阅读,之前伪装成一所医学院的网站。据推测,用户可以使用比特币作为支付方式从该网站购买疫苗。暗网提供的隐藏服务和匿名性使其成为攻击者出售非法疫苗的理想场所。最近的一份报告谈到了一个暗网,其运营商声称已经开发出一种疫苗,这种疫苗不仅可以购买,还可以运往世界各地。另一个暗网要求买家将个人信息,甚至他们的攻击感染状态和已知疾病,发送到一个电子邮件地址。这些详细信息也必须以比特币形式提交。与此同时,另一份报告讨论了在地下论坛上以250美元的价格出售一种所谓的疫苗。黑暗网站上的COVID-19疫苗骗局最近的疫苗骗局正在通过Facebook和Telegram传播,这令人担忧,因为与之关联的Telegram平台已经拥有4,000多名订阅者。特别值得一提的是,该渠道据说可以提供知名品牌的疫苗。研究人员能够识别诈骗网站,并注意到根据可用描述,最接近的域是域deltaexpressairline[.]com。使用DeltaExpress搜索更多诈骗网站时发现了31个以上的域。Telegram平台上的新冠疫苗骗局原文地址。
