Мошенники: вредноносное ПО и коронавирус

Не секрет, что преступники просыпаются, когда начинается мировая паника. Кибермошенники тоже не дремлют. Ситуация с распространением коронавируса открыла им большое поле для деятельности. К примеру, эксперты по кибербезопасности говорят, что сегодня хакеры маскируются под ВОЗ и налоговую службу Великобритании.  Так они внедряют вредоносное программное обеспечение в гаджеты. Разблокировку обещают после выкупа в биткоинах. Иногда так воруют персональные данные. Какие мошеннические схемы появились во время пандемии, как не стать жертвой преступников и что делать, если вы уже жертва, читайте в материале Bit44.

Вирус-вымогатель «CovidLock» 

Отдел кибербезопасности Domain Tools рассказал о появлении приложения для Android-гаджетов «COVID-19 Tracker». Его надо загрузить с специального сайта. Утилита  показывает карту мира, охваченного коронавирусом. Вдобавок в приложение есть оповещение на случай, если рядом с пользователем окажется инфицированный человек. Конечно, это вирусная программа, так как такое приложение в принципе невозможно создать.

Зачастую пользователи Android-устройств загружают приложения через Google Play Store. Это размещено на веб-странице coronavirusapp․site. На самом деле это вредоносная программа на Java-скрипте. Она дублирует официальную онлайн-карту отслеживания распространения коронавируса, которую разработали в Университете Джона Хопкинса . Эта карта использует информацию Всемирной Организации Здравоохранения и официальных организаций контроля инфицирования в США, Китае и Европе.

Вредноносное Android-приложение «COVID-19 Tracker». Источник.

Запущенная утилита для отправки уведомлений о случаях заражения поблизости просит разблокировать экран.  Вдобавок приложению нужно разрешить «мониторинг активного состояния» устройства. Непредупрежденный пользователь соглашается с требованиями приложения, после чего начинается работа вируса «CovidLock». Он меняет код разблокировки и телефон оказывается заморожен.

На заблокированном дисплее смартфона появляется адрес биткоин-кошелька. Туда в течение двух суток жертва должна отправить монеты на сумму $100. Если этого не сделать, злоумышленники грозят стереть все данные из памяти телефона, в том числе контакты, аудио, фотографии и видеозаписи. Вдобавок они угрожают отдать доступ к социальным сетям жертвы другим мошенникам. Предупреждения звучат так «Ваш GPS отслеживается, так что ваше местоположение известно. Если вы попытаетесь выкинуть какую-то глупость, вся информация с вашего телефона будет автоматически удалена, а данные социальных сетей будут опубликованы». В конце сообщения находится текстовое поле. Там нужно ввести код дешифрования,который хакеры предоставят после выкупа.

Работники компании Domain Tools быстро обнаружили приложение. Они опубликовали дешифровальный ключ в помощь тем, кто попался на уловку мошенников.  К слову, никто не успел стать жертвой:  переводов на  биткоин-адрес не приходило. Но мы не могли не предупредить.  Предупрежден — вооружен.

Персональные компьютеры тоже не защищены  

Агентство кибербезопасности Reason Labs сообщило в блоге о коронахакерах, которые промышляют  на компьютерах с операционной системой Windows.

Работник агентства Шаи Альфаси  заметил появление сфабрикованных web-сайтов. Они призывают установить приложение, которое показывает распространение коронавируса. К примеру, самый посещаемый из них  Corona Virus Map. Там интегрирован вирусный код, который атакует Windows. Дизайн сайта почти дублирует дизайн официальной онлайн-карты. Только он работает на другом домене, а приложение содержит троянский вирус AZORult. Это знаменитый троян существует четыре года. Вирус завладевает историей браузера: файлами cookie, историей посещений, идентификаторами, паролями, данными банковских карт, криптокошельков и другими конфиденциальными данными, которые пользователь предоставлял своему компьютеру.

Сайт Corona Virus Map, на котором скрыт вредоносный код, атакующий компьютеры на Windows. Источник.

Шаи Альфаси говорит, что вдобавок вирус устанавливает на компьютер дополнительные вредоносные программы и дает хакерам новые возможности. Например, освежая версия  AZORult скрытую учетную запись с правами администратора.  Так компьютер подключается по протоколу удаленного рабочего стола (RDP) и  полностью переходит под контроль мошенников. Вдобавок он говорит, что программное обеспечение с AZORult популярная тема на хакерских форумах. Там же его можно приобрести.

Компания по сетевой безопасности из США FireEye ,сообщила о всплеске активности правительственных хакеров  Российской Федерации, Китая и КНДР. Старший менеджер отдела аналитики компании  аналитического Бен Рид говорит, что уже минимум месяц работают киберразведчики. Они присылают  крупным госкорпорациям  и МИДам  Юго-Восточной и Центральной Азии, Восточной Европе и Южной Кореи фишинговые электронные письма и вредоносные файлы о коронавирусе. И так пытаются  заполучить желаемую информацию.

Под какими масками прячутся хакеры

Специалисты по сетевой безопасности говорят, что программное обеспечение с подобными вирусами приходит также от  авторитетных компаний, организаций или отдельных личностей, которые пользуются доверием. Письма на английском, итальянском, французском и турецком языках массово рассылают и простым людям, и целым страховым компаниям. Адресатами также являются организации в сфере транспорта, здравоохранения и туризма. Следовательно. фактический масштаб коронавирусных хакерских атак глобален. Bit44 показывает несколько мошеннических сообщений.

«Добрый доктор Карлос Геррадо»

Клиентам компании Proofpoint в феврале начали приходить сообщения с рецептом от коронавируса. Добрый врач говорит, что существует антивирус от COVID-19, о котором не говорят правительства Китая и Великобритании. Если нажать по ссылке в письме, то жертва отправится на  фишинговый сайт с вредоносной программой. Она заберет всю конфиденциальную информацию и файлы с компьютера жертвы.

Клиенты компании Proofpoint массово получают фишинговые письмаИсточник.

Эксперты Proofpoint говорят, что в одной рассылке 200 копий.

«Спасительное письмо от ВОЗ»

Пожалуй, это самое бессовестное письмо, поскольку мошенники прикрываются Всемирной организацией здравоохранения. И так играют на страхах доверчивых людей.  Если загрузить вложение на компьютер, то он  заразится кейлоггером AgentTesla . Эта  вредоносное приложение считывает работу клавиатуры и мыши и передает информацию мошенникам.

Фейковое письмо от имени ВОЗ . Источник.

В этом случае рекомендуется не обращать внимания на сообщения, потому что всю информацию ВОЗ размещает на своем  официальном сайте и не пользуется рассылками.

«Заботливая налоговая служба»

Международная компания Mimecast рассказала о сообщениях от якобы налоговой службы, которые несколько недель получают граждане и компании  Великобритании. Текст содержит информацию о праве на налоговый возврат или скидку в случае заражения коронавирусом. Ссылка ведет на сайт, который запрашивает персональную информацию и ворует ее.

Фальшивое письмо от налоговой службы Великобритании. Источник.

Глава фирмы Карл Вирн говорит игнорировать все письма, которые говорят о денежных компенсациях. потому что ни одна налоговая подобными рассылками не занимается. И, конечно, не стоит нажимать на гиперссылки в сообщении.

«Предупреждающее сообщение от Центра по контролю и предотвращению заболеваний»

Организация Cofense сама обнаружила фишинговые письма от своего имени. В тексте сообщений говорят о том, что инфекция переносится воздушно-капельным путем. А лица из группы риска должны наблюдаться у местного отделения Центра по контролю. Поэтому необходимо зарегистрироваться в Центре, введя e-mail и пароль. Когда жертва залогинилась, ее отправляют на официальный сайт организации.  Получается, мошенники получили доступ к почте и запрятали следы преступления.

Фишинговое сообщение от Центра по контролю и предотвращению заболеваний. Источник.

«Несмотря на то, что некоторые слова написаны с заглавных букв, письмо выглядит достаточно убедительно и провоцирует людей, напуганных ситуацией с коронавирусом, переходить по вредоносной ссылке», — официальное заявление компании.

«Просьба пожертвовать на разработку вакцины»

Опять речь идет об этом «Центре по контролю». Теперь адресатов просят пожертвовать средства на разработку антикороновирусной вакцины. Речь идет о биткоин-пожертвованиях.

Фишинговое письмо с просьбой о пожертвовании на разработку вакцины от коронавируса. Источник.

Работники  Лаборатории Касперского  говорят в своем блоге о фишерах, которые воруют учетные данные электронной почты жертв.

Как уберечься от хакеров и что делать, если компьютер уже заражен

Чтобы мошенники не смогли вам навредить следует сделать несколько действий. Во-первых,  успокоиться и не делать необдуманных действий.  Во всемирной сети много злоумышленников, как и в остальных сферах жизни.  Во-вторых, нельзя переходить по ссылкам из сообщений, даже если вы слышали об этой организации. Или, к примеру, адресат маскируется под реального человека. В-третьих,  проверьте адресата. Сегодня у каждого из них есть официальный сайт, блог или аккаунты в соцсетях. Там найдете интересующую и достоверную информацию. Для отслеживания  COVID-19 в реальном времени  можно применять официальные ресурсы, к примеру, сайтом Bing от Microsoft.

Вот рекомендации на случай, когда компьютер стал жертвой:

 Удалите вирус. Подробная пошаговая инструкция по удалению AZORult — здесь и здесь.

 Очистить куки и кэш в браузере.

 Переустановить систему, а также браузеры, антивирус и остальные программы.

 Просканируйте компьютер.

 Смените пароли к почте, аккаунтам в соцсетях, банковским картам.

 Будьте внимательны и не болейте!

bit44.org

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ