Каким образом мошенники используют ситуацию с коронавирусом для распространения вредоносного ПО?

Когда начинается всеобщий хаос — злоумышленники не спят. В ситуации с коронавирусом случилось также. Мошенники прикидываются ВОЗ и налоговой службой Великобритании и распространяют вредоносное ПО. Чем оно вредит? Блокирует мобильники, требует выкуп в виде биткоинов или же хочет заполучить личные данные жертв. Как мошенники проводят такую махинацию, как не подвергнуться опасности и что делать в ситуации, если всё-таки подверглись?

 

 

Вирус-вымогатель «CovidLock» на фоне вируса COVID-19

 

Как сообщили специалисты по безопасности Domain Tools, недавно они нашли веб-сайт, который предлагал юзерам загрузить «полезное» приложение для Android-устройств «COVID-19 Tracker», которое даст возможность наблюдать за распространением коронавируса по планете и, таким образом, быть в курсе событий. Важно, оно даже даст вам знать, если поблизости окажется зараженный человек (конечно же, это абсолютно невозможно).

 

Обычно, чтобы загрузить мобильное приложение для Android, пользователи ищут его в Google Play Store. Но в этом случае злоумышленники опубликовали свой продукт на веб-сайте coronavirusapp․site. Это вредоносное ПО, написанное на языке программирования Java. Оно создаёт имитацию настоящей онлайн-карты, созданной Университетом Джона Хопкинса для отслеживания распространения COVID-19 в настоящем времени. Информация карты основывается на данных ВОЗ и центров по контролю заболеваемости в Китае, Европе и США.

 

Так выглядит мошенническое Android-приложение «COVID-19 Tracker». Источник.

 

Приложение запрашивает доступ к блокировке экрана для того, чтобы если окажется поблизости заражённый человек, отправить пользователю уведомление об этом. Ещё запрашивается доступ на «мониторинг активного состояния» мобильника. И тут в игру вливается вирус, он блокирует экран, изменяя пароль юзера.

 

На экране образуется сообщение с указанием биткоин-адреса, куда жертва в течение 48 часов должна отправить сумму, эквивалентную $100. Если пользователь этого не сделает, то мошенники грозят очищением всего содержимого гаджета, а также отправит третьим лицам пароли и логины от всех социальных сетей. И даже запугивают: «Ваш GPS отслеживается, так что ваше местоположение известно. Если вы попытаетесь выкинуть какую-то глупость, вся информация с вашего телефона будет автоматически удалена, а данные социальных сетей будут опубликованы». В конце сообщения находится текстовое поле, куда нужно ввести код дешифрования, полученный от мошенников после отправки денег, и кнопка «Расшифровать».

 

Сотрудники Domain Tools сработали очень быстро и даже выложили ключ дешифрования для приблизительных жертв. К счастью, на это ещё никто не клюнул, так как транзакций на их биткоин-адресе нет.

 

Пользователи компьютеров тоже могут попасться

 

Информация о «корона-хакерах», внедряющихся в устройства на операционной системе Windows, опубликована в блоге агентства компьютерной безопасности Reason Labs.

 

Один из сотрудников этой организации Шаи Альфаси обнаружил, что хакеры создают фейковые сайты с призывом загрузить приложение для отслеживания ситуации с коронавирусом. Очень популярен сайт Corona Virus Map, на котором скрыт вредоносный код, атакующий компьютеры на Windows. По дизайну ресурс особо ничем не отличается от настоящей онлайн-карты, о которой мы говорили выше. Но домен у него другой, а в приложение, которое предлагается загрузить, встроен троян AZORult. Данный вирус известен с 2016 года — он ворует информацию из браузеров, в том числе файлы cookie, историю посещений, идентификаторы, пароли, данные кредитных карт, криптокошельков и другие конфиденциальные сведения, хранящиеся на устройстве пользователя.

 

Сайт Corona Virus Map, на котором скрыт вредоносный код, атакующий компьютеры на Windows. Источник.

 

Шаи Альфаси подчеркнул, что помимо всего вышеперечисленного, вирус имеет возможность загружать на зараженный компьютер различные вредоносные программы и, таким образом, расширять диапазон действий хакеров. Например, обновленный вариант AZORult создает новую скрытую учетную запись администратора, чтобы разрешить подключение по протоколу удаленного рабочего стола (RDP) — то есть компьютер может полностью перейти под контроль мошенников. Очень часто ПО с вирусом AZORult становится темой живых обсуждений на российских хакерских форумах, где его также можно купить.

 

Американская компания FireEye, специализирующаяся на предоставлении решений и услуг сетевой безопасности, заявила, что хакеры, трудящиеся на благо правительства России, Китая и Северной Кореи, тоже активизировались. Как говорит старший менеджер аналитического подразделения FireEye Бен Рид, в течение как минимум месяца киберлазутчики отправляют объектам своих шпионских интересов — крупным государственным компаниям и министерствам иностранных дел в Юго-Восточной и Центральной Азии, Восточной Европе и Южной Корее — фишинговые электронные письма и вредоносные файлы на тему коронавируса для того, чтобы заманить жертв в ловушку и завладеть желаемой информацией.

 

Под кого могут «косить» хакеры

 

Эксперты в области кибербезопасности утверждают, что вредоносное ПО с таким же вирусом массово рассылается мошенниками от имени организаций или специалистов, которым люди, на самом деле, могли бы довериться. Сообщения пишутся на английском, итальянском, французском и турецком языках и отправляются и обычным гражданам, и компаниям в сфере страхования, транспорта, здравоохранения и туризма. Масштаб противоправных действий хакеров огромный! Ниже вы можете ознакомиться с примерами электронных писем, которые внушают доверие.

 

«Добрый доктор Карлос Геррадо»

 

Письмо с призывом кликнуть по «целительной» ссылке начали получать клиенты компании Proofpoint еще в феврале. «Добродетельный» доктор полагает, что знает верное средство от коронавируса, которое якобы тщательно скрывают власти Китая и Великобритании. По ссылке жертва попадает на фишинговый сайт с вредоносной программой, которая собирает все файлы и конфиденциальные данные, хранящиеся на компьютере.

 

Клиенты компании Proofpoint массово получают фишинговые письма. Источник.

 

По мнению экспертов компании, подобные письма рассылаются по 200 копий за один раз и имеют как раз такой эффект, которого добиваются хакеры, так как масштаб постоянно растет.

 

«Спасительное письмо от ВОЗ»

 

Хакеры пользуются именем Всемирной организации здравоохранения, играя на страхах людей. Загружая вложенный файл, жертва заражает компьютер кейлоггером AgentTesla — эта вредоносная программа фиксирует все действия с клавиатурой и мышью и отправляет их злоумышленникам.

 

Фейковое письмо от имени ВОЗ с вредоносной программой. Источник.

 

Эксперты рекомендуют игнорировать письма якобы от ВОЗ, так как очевидно, что такая организация никогда не станет заниматься подобными рассылками, а вся нужная информация опубликована на официальном сайте.

 

«Заботливая налоговая служба»

 

Сотрудники международной компании Mimecast сообщают о письмах, которые в течение нескольких недель отправляются жителям и организациям Великобритании как-будто бы от налоговой службы. В тексте сообщается, что если вдруг вы заразились коронавирусом, то имеете право на налоговый возврат или скидку. Ссылка ведет на мошеннический сайт, где предлагается ввести персональные данные.

 

Фальшивое письмо от налоговой службы Великобритании. Источник.

 

Руководитель компании Карл Вирн говорит, что не надо отвечать ни на какие письма с предложениями о денежной компенсации и уж тем более не нужно переходить по ссылкам в таких письмах. Налоговая служба не занимается подобными рассылками, повторимся.

 

«Предупреждающее сообщение от Центра по контролю и предотвращению заболеваний»

 

Компания Cofense первой заметила фишинговую рассылку от имени этой организации. В письме утверждается, что коронавирус переносится по воздуху и что лица из группы повышенного риска будут располагаться под наблюдением городского отделения Центра по контролю. Чтобы встать на учет, нужно ввести адрес электронный почты и пароль. После ввода данных происходит переадресация на настоящий сайт Центра, что, естественно, запутывает жертву. Тем не менее мошенники уже получили доступ к содержимому почты и могут применять её в своих целях.

 

Фишинговое сообщение от Центра по контролю и предотвращению заболеваний. Источник.

 

«Несмотря на то, что некоторые слова написаны с заглавных букв, письмо выглядит достаточно убедительно и провоцирует людей, напуганных ситуацией с коронавирусом, переходить по вредоносной ссылке», — сообщают сотрудники компании.

 

«Просьба пожертвовать на разработку вакцины»

 

В некоторых письмах от того же «Центра по контролю» содержится просьба о пожертвовании на разработку вакцины против опасного вируса — средства предлагается пересылать в биткоинах.

 

Фишинговое письмо с просьбой о пожертвовании на разработку вакцины от коронавируса. Источник.

 

Специалисты из Лаборатории Касперского также сообщают в своем блоге о фишерах, которые воруют учетные данные электронной почты жертв.

 

Как избежать уловок злоумышленников, и что делать, если Вы уже поймались

 

Чтобы не пойматься на крючок хакеров, нужно в первую очередь не наводить панику и сохранять трезвым свой рассудок. Нужно всегда понимать, что в Интернете уйма мошенников, которые спят и видят, как завладеть вашими данными и средствами. Никогда не переходите по ссылкам в письмах, даже если эти письма присланы якобы известными организациями или личностями. В настоящее время у каждого из них есть официальный сайт, блог или аккаунты в соцсетях, где можно найти интересующую, а главное — достоверную информацию. Хотите отслеживать распространение COVID-19 в реальном времени — пользуйтесь официальными ресурсами, например, сайтом Bing от Microsoft.

 

Если Ваш компьютер уже заражён:

 Удалите вирус. Подробнее — здесь и здесь.

 Почистите куки и кэш в браузере.

 Обновите системное ПО, а также браузеры, антивирус и прочие программы, которые вы применяете.

 Просканируйте компьютер.

 Смените пароли к почте, аккаунтам в соцсетях, банковским картам и так далее — в зависимости от того, к чему мошенники могли заполучить доступ.

 

Берегите себя и ваши данные!

bit44.org

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ