CERT-GIB: 3 chủng phần mềm độc hại hàng đầu trong các chiến dịch lừa đảo COVID-19 và các tình huống khó xử liên quan đến đại dịch mà tin tặc phải đối mặt

Group-IB&;s Computer Emergency Response Team (CERT-GIB)  đã phân tích hàng trăm email lừa đảo liên quan đến coronavirus trong khoảng thời gian từ ngày 13/2 đến ngày 1/4 năm 2020. Phần mềm gián điệp hóa ra là lớp phần mềm độc hại phổ biến nhất ẩn trong các email COVID-19 lừa đảo, với AgentTesla đứng đầu danh sách các chủng lừa đảo hay sử dụng. Các nhà nghiên cứu của Group-IB cũng phát hiện ra rằng coronavirus đã chia rẽ tin tặc ngầm thành những kẻ lợi dụng đại dịch và những người phản đối mạnh mẽ việc khai thác. Group-IB kêu gọi người dùng hãy cảnh giác và chú ý đến bất kỳ email nào về coronavirus, đặc biệt là bây giờ hầu hết nhân viên đang làm việc tại nhà.

Phần mềm gián điệp:  tải trọng COVID-19 rất có thể

Báo cáo CERT-GIB dựa trên các phân tích lưu lượng lừa đảo liên quan đến coronavirus của Threat Detection System (TDS) Polygon  như một phần của hoạt động để ngăn chặn các mối đe dọa lây lan trực tuyến. Hầu hết các email lừa đảo liên quan đến COVID-19 được phân tích có các chủng phần mềm gián điệp khác nhau được nhúng dưới dạng tệp đính kèm. AgentTesla (45%), NetWire (30%) và LokiBot (8%) là những gia đình phần mềm độc hại được khai thác tích cực nhất. Với một số khác biệt nhỏ, tất cả các mẫu phần mềm độc hại này được thiết kế để thu thập dữ liệu cá nhân và tài chính. Họ có thể truy xuất thông tin đăng nhập của người dùng từ trình duyệt, mail clients và FTP clients, capture screenshots và bí mật theo dõi hành vi của người dùng và gửi nó đến tội phạm mạng C&Cs.

Hầu hết các email được phát hiện là bằng tiếng Anh. Những người đứng sau các chiến dịch liên quan đến COVID như vậy nhắm vào các tổ chức chính phủ và các công ty tư nhân.  Các email được che dấu dưới dạng tư vấn, đơn đặt hàng và cảnh báo hoặc khuyến nghị an toàn từ Tổ chức Y tế Thế giới, UNICEF, và các cơ quan quốc tế và các công ty tư nhân khác như Maersk, Pekos Valves và CISCO. Các công ty này tất nhiên không liên quan đến các vụ lừa đảo.

Hình 1. Ví dụ về một email độc hại được ngụy trang dưới dạng UN UNF COVID-19 TIPS APP với phần mềm gián điệp trong tệp đính kèm. Nguồn: CERT-GIB

Hình 2. Ví dụ về một email lừa đảo được ngụy trang như một lời đề nghị miên phí của masks. Source: CERT-GIB

Tội phạm mạng đã sử dụng các phần mở rộng tệp sau để phân phối các mẫu phần mềm độc hại: .gz, .ace, .arj và .rar, ba trong số đó là các định dạng lưu trữ. Điều đáng chú ý là .rar cũng trở thành định dạng thường được sử dụng thứ hai để phân phối phần mềm độc hại được lưu trữ trong nửa đầu năm 2019 và chiếm 25% tất cả các tệp độc hại được lưu trữ bởi CERT của Group-IB trong nửa đầu năm 2019. Để lừa phần mềm chống vi-rút, đe dọa các tác nhân bao gồm mật khẩu để truy cập nội dung trong dòng chủ đề email, trong tên lưu trữ hoặc trong thư tương ứng tiếp theo với nạn nhân. Trừ khi phân tích hành vi được sử dụng, phần mềm độc hại như vậy có khả năng vẫn không bị phát hiện.

Hacker phân chia ngầm trên coronavirus

Các email lừa đảo khai thác coronavirus chiếm khoảng 5% trong số tất cả các email độc hại được phát hiện và phân tích bởi CERT-GIB trong giai đoạn xem xét. Tỷ lệ tương đối nhỏ này có thể được giải thích một phần bởi thực tế là không phải tất cả tội phạm mạng đang tận dụng nỗi sợ coronavirus. Theo báo cáo phương tiện truyền thông, một số băng đảng ransomware đã tuyên bố rằng họ sẽ không nhắm mục tiêu các tổ chức y tế trong thời gian dịch. Nhóm Group-IB  Threat Intelligence cũng đã phát hiện một số bài đăng trên diễn đàn ngầm bởi những người dùng kêu gọi người khác ngừng khai thác COVID-19 cho mục đích xấu.

Hình 3. Bài đăng trên một diễn đàn tin tặc trong đó người dùng kêu gọi người khác ngừng khai thác COVID-19. Nguồn: Group-IB Threat Intelligence
.

Hình 4. Đăng trên một diễn đàn tin tặc từ một người dùng cung cấp giảm giá 20% và quảng cáo về các dịch vụ đăng ký tên miền và spam. Nguồn: Group-IB Threat Intelligence

Hình 5. Đăng trên một diễn đàn tin tặc từ một người dùng thông báo giảm giá cho các dịch vụ DDoS do cuộc khủng hoảng do COVID-19 gây ra. Nguồn: Group-IB Threat Intelligence

Công việc từ xa làm tăng khả năng tấn công mạng

Tất cả nhân viên từ xa, tài khoản email cũng như VPN được sử dụng để truy cập mạng công ty ít nhất phải được bảo vệ bằng xác thực hai yếu tố. Hơn nữa, thực hiện các giải pháp bảo vệ mạng là cần thiết để phân tích email đến và đi. Phân khúc mạng và phân biệt quyền truy cập đều được yêu cầu. Chúng tôi cũng khuyến nghị rằng ngay cả hoạt động của người dùng từ xa cũng được bảo vệ bởi các công cụ bảo mật chu vi của tổ chức.

Nguồn: https://www.group-ib.com/media/covid-phishing-campaings/