Coronavirus : Les escrocs commencent à exploiter le coronavirus comme appât pour propager des logiciels malveillants

19

Des chercheurs en sécurité mettent en garde contre malspam campagnes visant à diffuser des logiciels malveillants exploits l'attention des médias sur coronavirus épidémie.

Des groupes cybercriminels sans scrupules tentent d'exploiter l'attention des médias sur coronavirus pour infecter les systèmes du monde entier.

Récemment, coronavirusmonopolise attention des médias, utilisateurs en ligne cherche pour obtenir des informations sur le virus et sa propagation rapide dans le monde entier.

coronavirus "class =" wp-image-97141 "srcset =" https://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus.png?resize=1024%2C417&ssl= 1 1024w, https://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus.png?resize=300%2C122&ssl=1 300w, https: //i2.wp. com / securityaffairs.co / wordpress / wp-content / uploads / 2020/02 / coronavirus.png? resize = 768% 2C313 & ssl = 1 768w, https://i2.wp.com/securityaffairs.co/wordpress/wp-content /uploads/2020/02/coronavirus.png?resize=1536%2C626&ssl=1 1536w, https://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus.png? w = 1892 & ssl = 1 1892w, https://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus.png?w=1168&ssl=1 1168w, https: // i2. wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus.png?w=1752&ssl=1 1752w "tailles =" (largeur max: 584px) 100vw, 584px "data-recalc-dims = "1" /></figure>
<p>Dans ce scénario, il est assez facile pour les escrocs d'utiliser ce sujet pour inciter les victimes à s'ouvrir <gwmw class=armé documents ou visiter des sites Web malveillants.

Des termes tels que «Wuhan» (la ville considérée comme l’épicentre de l’infection) et «coronavirus » sont tendance sujets sur les réseaux sociaux.

Groupes de cybercriminalité qui ont déjà commencé malspam attaques qui tentent de tirer parti du grand intérêt des utilisateurs en ligne sur le sujet, nous avons observé des scénarios similaires dans le passé immédiatement après Naturel catastrophes et autres tragédies.

Conscient de ce qui s'est passé dans le p, j'ai immédiatement alerté le groupe de chercheurs du laboratoire de logiciels malveillants Cybaze-Yoroi Z-Lab leur demandant de rester vigilants sur toute campagne de spam visant à diffuser des codes malveillants en diffusant des documents d'appâts qui p informations sur le coronavirus.

Alors que les médias confirmaient les premiers cas d'infections à coronavirus, les chercheurs de Cybaze-Yoroi Z-Lab ont observé les e-mails de spam appât promettant des informations sur le virus, les messages ont été utilisés pour diffuser des versions du célèbre logiciel malveillant Emotet.

Les chercheurs de Z-Lab ont confirmé qu'au moment de leur analyse, les attaquants utilisaient des messages spécialement conçus pour attirer les victimes dans l'ouverture armé documents de bureau. Les documents d'appâts contenaient des macros utilisées auparavant, tandis que les versions d'Emotet utilisées sont les mêmes que celles observées lors des campagnes de ces derniers mois.

Selon la firme de sécurité Kaspersky, les attaquants utilisent plusieurs types de fichiers malveillants, notamment pdf, mp4 et docx avec "coronavirus"Thème pour diffuser des logiciels malveillants. De nombreux fichiers utilisés dans les attaques observées par les experts au cours de ces heures sont présentés comme des documents contenant des informations sur le virus, sa diffusion et des instructions sur la façon de prévenir la contagion.

Les documents d'appât sont utilisés pour fournir plusieurs types de logiciels malveillants, notamment des chevaux de Troie bancaires, des ransomwares et des vers.

"Nous avons seulement observé 10 uniques fichiers mais, comme cela arrive souvent avec des sujets d'intérêt général, nous nous attendons à ce que cette tendance se développe. Étant donné que c'est un sujet qui suscite une grande inquiétude parmi les gens du monde entier, nous sommes convaincus que nous détecterons de plus en plus de logiciels malveillants se cachant derrière de faux documents sur la propagation de la coronavirus", A expliqué Anton Ivanov, analyste des programmes malveillants chez Kaspersky.

Experts en sécurité d'IBM X-Force p a rapport plus technique décrivant une campagne en cours visant des utilisateurs japonais dans le but de propager le malware Emotet.

«X-Force a découvert la première campagne de ce type, dans laquelle l'épidémie d'un virus biologique est utilisée comme moyen de distribution d'un virus informatique. Ce qui rend ces attaques assez spéciales, c'est le fait qu'elles livrent le cheval de Troie Emotet, qui a récemment montré une augmentation de son activité », lit l'analyse publiée par IBM. «Il y parvient en exhortant ses victimes à ouvrir un document Word joint, décrit comme un supposé avis concernant les mesures de prévention des infections.»

IBM a confirmé que les escrocs exploitaient l'intérêt sur coronavirus pour diffuser le cheval de Troie bancaire Emotet par le biais de documents de mot d'appât diffusés par courrier électronique.

"En analysant les indicateurs de compromis fournis par IBM X-FORCE, je peux confirmer que la variante EMOTET employée dans ce "coronavirus»A déjà été largement utilisée dans les campagnes précédentes de« paiement de style d'entreprise ». L'empreinte digitale associée à ce logiciel malveillant renvoie à de faux documents de facturation récemment observés dans la plupart des campagnes EMOTET. Antonio Pirozzi, directeur de Cybaze-Yoroi Zlab.

«Le rapport publié par Kaspersky comprend des signatures collectées par sa télémétrie, viennent confirmer la présence de différentes campagnes actives possibles livrant d'autres familles de malwares. Les chercheurs de Kaspersky n'ont identifié que dix fichiers uniques, comme le rapporte l'analyste de logiciels malveillants Anton Ivanov, mais cela indique évidemment que plusieurs acteurs exploitent l'attention sur le sujet des coronavirus, et la tendance pourrait s'accentuer dans les prochaines heures. »

IBM fournit quelques exemples d'e-mails apparemment envoyés par un fournisseur de services de protection sociale pour les personnes handicapées au Japon.

coronavirus "class =" wp-image-97140 "srcset =" https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus-spam.png?w=997&ssl= 1 997w, https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus-spam.png?resize=300%2C134&ssl=1 300w, https: // i0. wp.com/securityaffairs.co/wordpress/wp-content/uploads/2020/02/coronavirus-spam.png?resize=768%2C344&ssl=1 768w, https://i0.wp.com/securityaffairs.co/wordpress /wp-content/uploads/2020/02/coronavirus-spam.png?resize=960%2C430&ssl=1 960w "tailles =" (largeur max: 584px) 100vw, 584px "data-recalc-dims =" 1 "/ ></figure>
<p>Le texte des messages indique qu'il y a eu des rapports de <gwmw class=coronavirus infections dans certaines préfectures du Japon et invite instamment le lecteur à consulter le document ci-joint.

"Jurisdiction tsusho / facility related disability welfare service providerWe become indebted to.Patients were reported about the new type of coronavirus-related pneumonia, mainly in Takeshi, China.In Japan, patients are being reported in Osaka Prefecture,Along with the anticipated increase in the number of visitors to Japan, a separate notice has been issued.Therefore, please check the attached notice," reads the content of the email.

Suivant un modèle d'infection consolidé, une fois le document ouvert, l'utilisateur affiche la demande pour permettre aux macros de visualiser son contenu. Malheureusement, en activant les macros, le processus d'infection de la machine démarre, un PowerShell est exécuté en silence pour télécharger et installer une version du cheval de Troie Emotet.

«Après avoir exécuté le document dans un bac à sable, nous avons pu retracer le processus d'infection. Si la pièce jointe de l'exemple 3 a été ouverte avec les macros activées, un script de macro VBA masqué s'ouvre PowerShell et installe un téléchargeur Emotet en arrière-plan. Ceci est typique comportement de la plupart des documents Emotet », poursuit IBM.

Que va-t-il se passer dans les prochaines semaines?

Au cours des prochaines semaines, un nombre croissant d'acteurs de menaces exploiteront coronavirus thème, permettez-moi de suggérer de suivre quelques conseils simples pour prefaire l'infection:

  • N'ouvrez pas de liens suspects vous invitant à consulter coronavirus information. Ces liens peuvent être diffusés par e-mail, des messages d'application de messagerie instantanée tels que WhatsApp, ainsi que les réseaux sociaux. Toujours rechercher coronavirus informations provenant de sources fiables et légitimes, ignorez tous les messages non sollicités, même s'ils proviennent de personnes en qui vous avez confiance.
  • Gardez vos systèmes logiciels à jour et utilisez des solutions de sécurité fiables sur vos ordinateurs de bureau et systèmes mobiles.

Pierluigi Paganini

(SécuritéAffaires coronavirus, piratage)