10 апреля 2020

Group-IB: шпионские программы лидируют в почтовых рассылках, паразитирующих на теме коронавируса

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, назвала самые популярные вредоносные программы, которые злоумышленники используют в своих фишинговых рассылках на тему COVID-19. Почти 65% перехваченных вредоносных рассылок несли «на борту» программы-шпионы (spyware), а ТОП-3 наиболее активно эксплуатируемых шпионских программ возглавил троян AgentTesla. Между тем, в андеграунде мнение об эксплуатации актуальной повестки разделились: часть стремится заработать на теме COVID-19, предлагая промо-акции на свои услуги, а другие представители даркнета осуждают подобные кампании.

 

Шпион, выйди вон

В период с 13 февраля по 1 апреля специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB) проанализировали сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19.

Перехваченные системой предотвращения сложных киберугроз Threat Detection System (TDS) фишинговые письма содержали во вложении различные типы шпионского ПО. Сами популярными оказались программы-шпионы — 65%, второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%. Что касается шпионского ПО, то наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%).

Программы-шпионы опасны не только тем, что способны собирать данные о системе и зараженном компьютере, загружать и запускать файлы, делать скриншоты, записывать нажатие клавиш на клавиатуре, но и могут похищать данные пользователей: логины, пароли из браузеров, почтовых и FTP-клиентов, а также данные банковских карт.

Сами фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также и крупных российских и международных компаний. Рассылки были направлены как в коммерческий, так и в государственный секторы России и СНГ. Вот несколько примеров:

16 марта CERT-GIB зафиксировал новую вредоносную рассылку якобы от лица сотрудницы UNICEF — международной организации, действующей под эгидой ООН. Получателю предлагали загрузить приложение, чтобы получать обновления о ситуации с COVID-19 и рекомендации, как защитить своих сотрудников от этого вируса. К фейковому письму прилагался архив, который содержал Netwire — троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.

27 и 28 марта CERT-GIB зафиксировал две волны рассылки шпионской программы HawkEye с темой Free face Mask. Письмо было отправлено якобы от менеджера китайской компании — GALAXY ELECTRONIC INDUSTRIAL, а получателями были российские компании, в том числе из сферы энергетики. В письме говорились, что китайская компания якобы запустила завод по производству защитных масок — есть идея запустить совместный бизнес, нужно посмотреть сертификацию товара во вложении. Внутри находится RAR-архив Mask 2020.rar с вредоносным исполняемым файлом Mask 2020.exe и шпионской программой из семейства HawkEye (aka HawkSpy).

27 марта CERT-GIB зафиксировал две рассылки вируса-шифровальщика по российским нефтегазовым компаниям — в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании «Аптека.ру», содержали презентацию «лучших средств профилактики по доступной цене» под заголовком «Дарим „вакцину“ от коронавируса!». Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora.

 

Форумы подогревают спрос

Несмотря на то, что процент фишинговых писем, паразитирующих на теме COVID-19, невысок и составил за исследуемый период порядка 5% во всем вредоносном трафике, злоумышленники на хакерских форумах стремятся использовать панические настроения, чтобы поднять свои продажи вредоносных программ.

Например, с февраля на андеграундном форуме продается Java-загрузчик, замаскированный под интерактивную карту распространения COVID-19. Основным путем заражения является обычная фишинговая рассылка, и она, как уверяет продавец, обходит защиту Gmail благодаря использованию легитимных расширений файлов. После заражения пользователю открывается карта с актуальными данными ВОЗ и Университета Джона Хопкинса, а параллельно загружается любая полезная нагрузка, например, вредоносная программа для кражи данных. Позже — в марте – исследователи фиксировали такие рассылки со стилером AZORult.

Кроме того, команда Group-IB Threat Hunting Intelligence зафиксировала более 500 объявлений на андеграундных площадках со скидками и промокодами на период пандемии на услуги DDoS, спам-рассылок и т.д.

Впрочем, не все представители андеграунда пытаются заработать на новостной повестке, связанной с пандемией. Часть из них осуждают эксплуатацию коронавирусной тематики во вредоносных кампаниях:

 

«Удаленка» повышает риски

В связи с тем, что многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, эксперты Group-IB прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети.

Поскольку домашняя сеть не защищена ИБ-отделом вашей компании, злоумышленники могут атаковать в первую очередь именно пользователей на “удаленке”, чтобы добраться до инфраструктуры компании. В группе риска — сотрудники финансовых учреждений, телеком-операторов и IT-компаний, а целью кибератак станет не только кража денег или персональных данных, но проникновение в корпоративную инфраструктуру через личный компьютер жертвы. Чтобы поддержать миллионы людей, которым теперь приходится работать из дома, и ИБ-команды, которым поручено создать безопасные условия удаленной работы, Group-IB запустила кампанию StayCyberSafe with Group-IB, где пользователи могут найти рекомендации по организации безопасного удаленного рабочего места.

Aleksandr Kalinin

Александр Калинин

Глава CERT-GIB

Напомним, что эксперты Group-IB рекомендуют заранее позаботиться о получении удаленного доступа к необходимым ресурсам компании для безопасной работы из дома. Важно защитить двухфакторной аутентификацией все учетные записи электронной почты удаленных сотрудников, в мессенджерах и при VPN-подключении, используемом для доступа к корпоративным сетям. Нельзя загружать и открывать корпоративные файлы на личных устройствах, не переходить по ссылкам в сообщениях, в том числе,посвященным злободневным темам (новости и распоряжения, касающиеся коронавируса, компенсации, отмены командировок и тд).

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте