Hackers maken gebruik van coronavirus-hype om computervirussen te verspreiden
Indignatie redactie
5 min. lezen
Cyberaanvallen manipuleren de angsten van mensen rond het coronavirus om gevoelige persoonlijke informatie te stelen.
De uitbraak van coronavirus heeft de weg vrijgemaakt voor hackers om cyberaanvallen uit te voeren door computervirussen te verspreiden.
Hackers hebben berichten verzonden met informatie over het coronavirus via e-mail en andere berichtenplatforms die de ontvanger vervolgens besmetten met malware.
Momenteel zijn virussen met corona-thema’s verspreid in Japan door hun gevoel van urgentie en nabijheid tot China te exploiteren.
Het bedreigingsinformatieteam van Proofpoint, een softwarebedrijf in cybersecurity in de VS, waarschuwde in een blogpost tegen dreigingscampagnes over evenementen die de aandacht van de wereld trekken.
Het bedrijf noteerde bijvoorbeeld één e-mail waarin stond: Kyoto Prefectural Yamashiro Minami Public Health Centre Welfare Room en Kyoto Prefectural Fundraiser.
De tekst van het bericht luidt : “Gevallen van nieuwe coronavirus-geassocieerde longontsteking werden gerapporteerd in voornamelijk Takeshi, China.” Het gaat verder met “patiënten zijn gemeld in Kanagawa Prefecture in Japan.”
Nadien spoorde de mail mensen aan om op de “bijgevoegde kennisgeving” te klikken om TA542 te verspreiden, een bijlage met een virus en een gezondheidsgids.
De bijlage lanceert malware, Emotet genaamd, die persoonlijke informatie en inloggegevens voor banken en financiële rekeningen steelt.
Voordat aanvallen met het coronavirus-thema zich verspreidden, werden campagnes met de titel Greta-Thunberg over de hele wereld ondernomen in landen als Australië, Duitsland, Hong Kong, Japan, Maleisië, Spanje, Zwitserland, Verenigde Arabische Emiraten en de Verenigde Staten.
Mensen uit deze landen waren het doelwit van kunstaas met Greta Thunberg-thema, aangezien de opwarming van de aarde op dat moment een veelbesproken onderwerp was.
Tegenwoordig gebruiken hackers niet alleen malware die aan e-mails is gekoppeld, maar hebben ze ook websites gebouwd die beweren coronavirusbeschermingsgidsen te bieden.
Experts suggereren dat mensen ‘alleen geverifieerde en vertrouwde websites’ bezoeken.
Proofpoint-beveiligingsexperts suggereerden ook dat “TA542 een formidabele actiegroep is met geavanceerde mogelijkheden waarmee ze snel kunnen reageren op actuele gebeurtenissen en zelfs op slimme, selectieve campagnes op basis van taal en regio.
“Het is belangrijk dat beveiligingsteams hun e-mailkanaal blijven beveiligen en gebruikers informeren over de verhoogde risico’s die verbonden zijn aan de risico’s van e-mailbijlagen, aangezien Emotet in staat is een reeks aanvullende malware te downloaden, zich over netwerken te verspreiden en geïnfecteerde apparaten te gebruiken om verdere aanvallen te starten.”
Emotet maakt gebruik van Coronavirus en Greta Thunberg (alweer), terwijl de bedreigingen van Coronavirus toenemen
Wereldwijde evenementen trekken vaak de aandacht van de wereld met een combinatie van brede erkenning en een gevoel van urgentie, maar ze zijn helaas ook waarschijnlijke kandidaten voor campagnes met bedreigingsactoren. TA542, de groep achter Emotet, gelooft hier duidelijk in en maakt gebruik van de recente discussie over gezondheidsproblemen en klimaatverandering van Coronavirus om klikken te beveiligen. Ons onderzoeksteam voor bedreigingen volgt het gebruik van TA542 van de e-mail lokmiddelen met het Coronavirus-thema en een heropleving van hun Greta Thunberg-thema campagnes, en onderzoekt ook bedreigingsactoren die beginnen met het registreren van websites met het Coronavirus-thema die kunnen worden gebruikt voor latere fraude.
Momenteel zien Proofpoint-onderzoekers e-mailaanvallen met het Emotet Coronavirus-thema uitsluitend met behulp van Japanse taallokmiddelen en in tegenstelling daarmee zijn de campagnes met het Greta Thunberg-thema breed in hun geografische distributie. Ze richten zich op ten minste een dozijn landen wereldwijd met kunstaas met Greta Thunberg-thema, waaronder: Australië, Oostenrijk, Barbados, Duitsland, Hong Kong, Japan, Maleisië, Singapore, Spanje, Zwitserland, Verenigde Arabische Emiraten en de Verenigde Staten.
Het is belangrijk op te merken dat TA542 een groep is die meerdere campagnes tegelijkertijd kan uitvoeren. De infrastructuur van Emotet is ook zeer test- en metriekgestuurd en is op schaal gebouwd, afhankelijk van wat werkt.
Coronavirus-thema kunstaas: Japan
Sommige van de e-mails die we hebben waargenomen, zijn voorzien van een afzender met de tekst “京都 府 山 城南 保健 所 福祉 室” (Vertaling naar Engels: Kyoto Prefectural Yamashiro Minami Public Health Centre Welfare Room) en “京都 府 共同 募 金 会” (Vertaling naar Engels: Kyoto Prefectural Fundraiser).
Een voorbeeld van deze e-mails wordt getoond in figuur 1. Figuur 2 toont een Engelse vertaling van de tekst.
Figuur 1 Corona-thema Emotet Lure in het Japans
Figuur 2 Corona-thema Emotet Lure in het Japans met vertaling
Interessant is dat TA542 de tijd heeft genomen om redelijke gezondheidsrichtlijnen in hun kunstaas op te nemen door informatie over symptomen en te nemen acties op te nemen. Dit verhoogt de geloofwaardigheid van het kunstaas.
Net als in andere Emotet-campagnes, bevatten veel van deze e-mails een bijgevoegd Microsoft Word-document met kwaadaardige macro’s. Wanneer het document wordt geopend en de gebruiker de macro’s inschakelt, is Emotet geïnstalleerd. We hebben ook voorbeelden gezien met behulp van bijgevoegde PDF-berichten en inclusief koppelingen om Microsoft Word-documenten te downloaden.
Nieuwste kunstaas met Greta Thunberg-thema
De nieuwste kunstaaskunst met Greta Thunberg-thema lijkt erg op wat we in december 2019 hebben gezien met veel van dezelfde onderwerpregels en bijlagennamen. Deze keer is er geen verwijzing naar kerstvakantie en een grotere focus op klimaatverandering.
Eén ding is nieuw: sommige van deze e-mails maken gebruik van het aanbod van gratis Greta Thunberg-thema t-shirts, broeken, pennen, posters en mokken als onderdeel van het kunstaas. Een voorbeeld van deze nieuwste campagne is weergegeven in figuur 3.
We denken dat deze campagne effectief is geweest voor de aanvallers, omdat er tussen de decembercampagne en deze laatste poging heel weinig is veranderd.
Websites met het Coronavirus-thema
Ten slotte hebben Proofpoint-onderzoekers nauwlettend gelet op andere aanvallen en oplichting met het Coronavirus-thema. We hebben vastgesteld dat aanvallers URL’s en websites met het Coronavirus-thema beginnen te registreren. Een voorbeeld hiervan is te zien in figuur 4.
Afbeelding 4 Onlangs geregistreerde webpagina met Coronavirus-thema
Hoewel de gevonden pagina nog niet actief is, denken we redelijkerwijs dat dit mogelijk een vroege stap is in de voorbereiding op toekomstige coronavirus-gerelateerde kwaadaardige activiteiten.
Jezelf beschermen
Al deze activiteit dient als een herinnering om voorzichtig te zijn met e-mails en websites met betrekking tot actuele gebeurtenissen, in het bijzonder e-mails die u lijken te vragen om dringende actie te ondernemen rond het Coronavirus. Bezoek alleen geverifieerde, vertrouwde websites.
Het dient ook als een herinnering dat TA542 een formidabele actorgroep is met geavanceerde mogelijkheden waarmee ze snel kunnen reageren op actuele gebeurtenissen en zelfs slimme, selectieve campagnes op basis van taal en regio. Het is belangrijk dat beveiligingsteams hun e-mailkanaal blijven beveiligen en gebruikers informeren over de verhoogde risico’s die verbonden zijn aan de risico’s van e-mailbijlagen, aangezien Emotet in staat is een reeks extra malware te downloaden, zich over netwerken te verspreiden en geïnfecteerde apparaten te gebruiken om verdere aanvallen te starten.
