接上文《新冠疫情下的网络威胁:COVID-19衍生的恶意活动(上)》恶意社交媒体消息趋势科技研究部调查了通过FacebookMessenger在线传播的欺诈和网络钓鱼策略。这是一个承诺两个月的免费高级Netflix订阅的消息示例:CapturedSMSscamimage通过FacebookMessenger以短URL的形式发送,hxxps://bit[.]ly/34phlJE,重定向到两个可能的页面.场景详述如下:场景1:如果用户已经登录到他们的Facebook帐户,它将继续并重定向到一个虚假的Netflix页面(如下所示)。欺诈性Netflix页面该页面获取受害者的Facebook登录凭据,并在Facebook中创建对名为“NeTflix”的应用程序的有效订阅。该应用程序仅表明用户已被入侵。如果用户已经订阅了假冒应用程序,然后再次点击恶意链接,他们将被重定向到第二个页面,这将在下一节中详细介绍。再次点击该链接的订阅者将被重定向到该页面Case2:这是第二种可能性。未登录Facebook帐户的用户将被重定向到Facebook登录页面。重定向到Facebook登录页面如果用户输入他们的帐户凭据,它将重定向到第一种情况中显示的欺诈页面。如果用户点击“NotNow”按钮,它会重定向到虚假的Netflix页面,如下所示。该页面包含虚假的Netflix报价和右侧的调查,其中包含有关COVID-19和清洁习惯的问题。诈骗者使用与Netflix无关的免费新域名。虚假的Netflix报价敦促受害者分发调查结束时,它会要求用户分享或邀请20个朋友或五个小组完成调查,然后用户才能继续并接收他们的虚假免费Netflix订阅(图6)。该调查包含随机问题并接受用户输入的任何答案。让用户顺利进行下一步。无论用户在调查结束时是点击“发送”还是“继续”按钮,它都会将用户重定向到同一页面——Facebook分享提示。在下一步中,再次敦促用户通过单击其Facebook联系人的“分享”按钮来传播恶意链接。然后,系统将提示用户登录Facebook。要求登录Facebook以输入其Facebook登录凭据的用户将被带到自动生成的帖子。单击“发布”按钮将在用户的Facebook页面上发布恶意链接的状态。用户将被要求在他们的Facebook页面上发布链接。这两种情况表明,无论用户是否已经登录或拒绝提供其凭据,都将被迫共享欺诈性链接。以下URL已被识别为恶意URL并已被趋势科技阻止:hxxp://bit[.]ly/3ec3SsW-flixx.xyzhxxp://bit[.]ly/2x0fzlU-smoothdrive.xyzhxxp://bit[.]ly/39ZIS5F-flixa.xyz以下是帮助用户避免此类攻击的建议:不要单击链接或共享来自未知发件人的文件。检查共享的信息是否来自合法来源。检查要求您提供信息的网站的URL。不要向未经验证的网站提供个人信息或凭据。由于世界各地的人们都在家工作,因此大多数用户都容易受到上述简单攻击的攻击。社交媒体在获取最新信息方面发挥着至关重要的作用,但它也可用于网络攻击。每个人都应该努力保持安全,不仅要免受流行病的威胁,还要免受数字威胁。恶意软件BrianKrebs揭示了一张交互式COVID-19地图被用来传播窃取信息的恶意软件该地图由约翰霍普金斯大学创建,是一个显示感染和死亡情况的交互式仪表板。俄罗斯地下论坛的几名成员利用这一点,出售部署了基于Java的恶意软件的数字COVID-19感染工具包。引诱受害者打开地图,甚至分享地图。此外,TrendMicroResearch分析了以冠状病毒为主题的Winlocker,它将用户锁定在受影响的计算机之外。执行后,恶意软件会丢弃文件并修改系统注册表。然后它会显示一条消息,通过Windows播放可怕的声音,并要求输入密码以解锁机器。根据此视频示例,勒索软件变体似乎是2019年的一种经过修改和重新利用的恶意软件。截至撰写本文时,尚未在野外发现此类恶意软件。执行后,恶意软件会丢弃大量文件;并创建以下文件的副本:C:\wh\speakh.vbsC:\wh\antiwh.vbsC:\wh\diex.batC:\awh\anti-exe删除文件列表它也是注册表项修改的。修改后的注册表项将为以下组件创建自动运行条目:C:\wh\speakh.vbsC:\wh\antiwh.vbsC:\wh\diex.bat然后,它会禁用Explorer策略的一些基本功能,这些功能会影响Windows系统几乎无法导航。它将法律声明的标题修改为:修改通知欢迎信息后,受影响计算机的壁纸将被替换为“冠状病毒”图像。屏幕上还会显示一个框,通知用户机器已锁定,需要解密代码才能恢复文件。此屏幕来自放置的文件antiwh.vbs,该文件在系统启动时执行。根据分析的恶意软件脚本,加载explorer.exe所需的正确代码是“vb”。每次启动时,锁屏图像都会执行另一个脚本(C:\wh\antiwh.vbs),并使用Windows语音功能循环说出“冠状病毒”。Windows语音功能用于循环“冠状病毒”文件C:\wh\diex.bat以在启动时终止explorer.exe。对其他被丢弃的二进制文件(“C:\awh\anti-exe”)的进一步分析表明,它是该恶意软件的受密码保护的解锁器。执行后,它要求输入密码。我们尝试使用与之前脚本相同的密码“vb”。成功安装受密码保护的Unlocker安装程序后,Unlocker会删除以下文件:Unlocker安装的文件根据maurag.reg的内容,它会恢复注册表项以使系统再次可用。文件“boom.bat”将删除放置在c:\wh\中的文件,其中包含以下消息:恶意软件注意事项商业电子邮件妥协(BEC)Agari网络情报部门(ACID)已报告涉及COVID-19商业电子邮件妥协的事件(BEC)攻击。这次攻击是AncientTortoise早期BEC活动的延续,AncientTortoise是过去多起BEC案件背后的网络犯罪集团。威胁行为者首先转发应收账款作为账龄报告(应收账款报告)。然后,他们使用这些报告中的客户信息发送电子邮件,冒充合法公司,告知他们因COVID-19而发生的银行和付款变更。勒索软件一种名为CoronaVirus的新勒索软件变体正在通过假冒的WiseCleaner网站传播,该网站据称有助于系统优化,据MalwareHunterTeam报道。受害者在不知不觉中从虚假网站下载文件WSGSetup.exe。上述文件充当两种恶意软件的下载程序:CoronaVirus勒索软件和名为Kpot的密码窃取木马。该活动遵循最近的勒索软件攻击趋势,这种攻击不仅限于加密数据,还包括窃取信息。另一起事件是由勒索软件引发的攻击,袭击了捷克共和国布尔诺的一家大学医院,该医院是一个COVID-19检测中心。医院的计算机系统因袭击而关闭,延迟了COVID-19测试结果的发布。根据BleepingComputer的一份报告,威胁行为者还发起了一项新的网络钓鱼活动来传播Netwalker勒索软件。该活动使用名为“CORONAVIRUS.COVID-19.vbs”的附件,其中包含嵌入式Netwalker勒索软件可执行文件。执行脚本后,EXE文件将保存到%Temp%\qeSw.exe。激活此文件将导致计算机上其他文件的加密。然后,受害者会找到一张赎金票据,其中包含有关如何通过Tor支付网站支付赎金的说明。移动威胁一种名为CovidLock的移动勒索软件来自恶意Android应用程序,据说可以帮助跟踪COVID-19情况。勒索软件锁定了受害者的手机,受害者可以在48小时内支付100美元的比特币以重新获得手机的访问权限。如果不这样做,可能会删除数据,包括存储在手机中的数据,并泄露社交媒体帐户的详细信息。检查他们的加密货币钱包发现,一些受害者已经在3月20日支付了赎金。截至撰写本报告时,最终余额为0.00018096BTC。还有报道称,恶意Android应用程序为害怕COVID-19的目标提供了面具。不幸的是,该恶意应用程序实际上提供了一个SMSTrojan,它会收集受害者的联系人列表并发送SMS消息进行自我传播。到目前为止,该应用程序似乎处于开发的早期阶段,只是试图覆盖尽可能多的用户。浏览器应用程序据新闻报道,一场新的网络攻击传播了据称来自世界卫生组织(WHO)的虚假COVID-19信息应用程序。BleepingComputer报道称,该活动涉及破解D-Link或Linksys路由器中路由器的域名系统(DNS)设置,以提示网络浏览器显示来自上述应用程序的警报。用户回应说,他们的浏览器会在没有提示的情况下自动打开,然后只显示一条消息,要求他们单击按钮下载“COVID-19InformApp”。单击该按钮将在设备上下载并安装Oski信息窃取程序。这种恶意软件变体可以窃取浏览器cookie、浏览器历史记录、浏览器支付信息、保存的登录凭据、加密货币钱包等。色情骗局Sophos报告的一项性交易计划要求4,000美元的比特币或威胁要用COVID-19感染受害者的家人。受害者会收到电子邮件,通知他们威胁攻击者知道他们的所有密码、行踪以及与个人活动相关的其他详细信息。电子邮件的发件人威胁说,如果受害人在24小时内不付款,就会公开数据。但是,没有确凿的证据表明攻击者实际上可以访问数据。TrendMicroResearch发现了安全公司Sophos的类似勒索骗局。如果他们的要求得不到满足,网络犯罪分子就会将COVID-19传播给受害者。下图显示诈骗者使用恐吓策略来操纵用户。黑客声称他们以某种方式渗透了用户的系统,并能够从用户自己的帐户发送电子邮件。事实上,垃圾邮件的发件人与邮件的收件人是同一个人,因此如果目标回复邮件,他们将再次收到同一封邮件。这助长了错误的信念或加剧的恐惧,即黑客以某种方式进入了他们的系统并掌握了有关他们行踪的个人信息。黑客随后要求500美元的赔偿,否则他将传播病毒。COVID-19勒索地下论坛的现状地下论坛和网络犯罪市场的运作方式与合法销售场所的运作方式相同:供应商关注国际新闻和市场,并通过迎合市场需求来获利。一个流行的地下论坛创建了一个有限的冠状病毒奖品,人们可以在其中购买卫生纸或在用户的个人资料中添加“冠状病毒”图标。我们通常会在自然灾害或重大世界事件之后看到类似主题的恶意软件,目前冠状病毒(COVID-19)大流行也是如此。我们在地下论坛中看到了与该病毒相关的网络钓鱼、漏洞利用和恶意软件的多个列表。一位用户(如下图)要求200美元用于私人构建的以冠状病毒为主题的网络钓鱼攻击,并要求700美元用于代码签名证书。在俄罗斯地下论坛上销售以冠状病毒为主题的网络钓鱼攻击的大流行迅速改变了消费者的习惯。多个国家的人们都在努力寻找基本用品,卫生纸和口罩的需求量很大。趋势科技研究发现,许多地下论坛现在都在销售N95口罩、卫生纸、呼吸机、体温计和病人监护仪等产品。我们看到过提供N95口罩(每个5美元)和卫生纸卷(10美元)的帖子。随着股市暴跌,地下论坛的用户也一直在争论现在是否是投资比特币的好时机。比特币的价值在一个月内从8914美元(2月27日)跌至6620美元(3月27日)。提供3MN95口罩的地下卖家提供N95口罩的论坛帖子提供卫生纸卷的论坛帖子关于现在是否是投资加密货币的好时机一些卖家在他们的广告标题或文字中使用“冠状病毒”作为关键字来增加销量。他们提供病毒式主题销售,甚至为合资企业寻找合作伙伴。我们甚至发现一些用户在讨论如何将病毒用作社会工程骗局。暗网市场提供大麻“冠状病毒销售”卖家正在寻找与冠状病毒相关的风险投资在许多国家,人们被要求呆在家里,企业关门,失业人数增加。因此,地下卖家的收入下降是因为人们花钱少了。论坛上的卖家抱怨退市诈骗也呈上升趋势。由于钱骡也害怕感染病毒,依赖钱骡和车辆的地下生意也受到了影响。在多个论坛上搜索显示,许多人在讨论如何预防感染COVID-19病毒、如何制作洗手液、论坛用户如何应对城市封锁以及对病毒的普遍关注。COVID-19威胁的范围根据数据,电子邮件、URL和文件之间存在数百万种威胁。以下数据代表了2020年第三季度收集的信息。使用COVID-19恶意URL的威胁图涵盖了一系列与网络钓鱼相关的网站、诈骗和转储恶意软件(例如软件、勒索软件)的域。在下图中,我们列出了用户无意中访问字符串中包含covid、covid-19、coronavirus或ncov的恶意URL的前十个国家。我们的年中汇总显示,尝试访问与Covid-19相关的恶意URL的用户数量在4月达到顶峰,而在5月和6月保持稳定。然而,在第三季度,我们看到活动再次回升,尤其是在8月和9月。2020年第3季度用户访问与COVID-19相关的恶意URL最多的国家/地区访问与COVID-19相关的恶意URL的国家/地区实例如上文详述的威胁示例所示,这些威胁中的很大一部分与垃圾邮件相关。正如我们在年中总结中指出的那样,电子邮件威胁占2020年上半年所有与Covid-19相关的威胁的91.5%,并且是恶意行为者最常使用的入口点。今年第三季度,由于恶意活动继续以相对较高的速度持续,用户应保持警惕。本文翻译自:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-域?_ga=2.181130599.1319579219.1610612606-1482036807.1514878063
