欢迎进入UG环球官网(环球UG)!

usdt自动充提教程网(www.6allbet.com):新冠疫情下的网络威胁:COVID-19衍生的恶意流动(上)

admin4周前155

USDT自动充值接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

COVID-19被用于种种恶意流动,包罗电子邮件垃圾邮件,BEC,恶意软件,勒索软件和恶意域。随着受熏染人数的激增,成千上万的以这种疾病为诱饵的恶意行动也在增添。趋势科技研究人员会定期从与COVID-19相关的恶意流动中获取样本。这份讲述还包罗其他研究人员的检测效果。

对于威胁攻击者来说,提及当前的恶意攻击事宜并不是什么新鲜事,他们会在社会工程计谋中一再行使热点话题、场所和盛行人物的及时性。

在2020年第三季度,COVID-19仍然占有了头条新闻,趋势科技的监测显示,行使病毒作为诱饵的网络威胁在9月份呈指数级增进。恶意流动激增的同时,社会工程计谋也发生了转变——犯罪分子没有使用COVID-19信息诱骗用户,而是行使冠状病毒相关的学校更新的数据信息。例如,许多学校要求将有关学生康健的更多信息观察作为其匹敌病毒的平安措施。10月下旬,平安公司MalwareBytes Lab在一项针对不列颠哥伦比亚大学(UBC)员工的虚伪康健观察中发现了隐藏的勒索软件。

钓鱼邮件中使用的邮件题目也发生了转变。恶意攻击者不再是以COVID-19为主题,而是行使与事情机遇相关的题目诱骗用户打开垃圾邮件。许多人由于疫情引起的经济衰退而失业,他们盼望找到事情机遇。威胁攻击者行使人们的痛点,诱使他们上当受骗。

COVID-19衍生的网络威胁

垃圾邮件

由于疫情的影响,全球各地的办公方式都在改变。一样平常事情的许多方面,从 *** 到演示和协作义务,都已转移到网上。

当用户顺应新的事情方式时,他们应该小心使用的在线工具、共享软件和诈骗文件附件的网络流动。趋势科技研究部早在2020年2月就发现了有人向用户发送冠状病毒相关的带有恶意附件的电子邮件。

早期与COVID-19相关的恶意电子邮件

现在就有行使病情作为诱饵的商业电子邮件攻击(BEC)诈骗。BEC设计通常通过诱骗目的公司将资金转移给伪装成统一公司内部人员的罪犯来实现。以下电子邮件使用连续的康健危急来推动其紧急行动。

使用COVID-19的BEC电子邮件示例

我们还发现了声称是拯救组织或卫生组织的电子邮件,要求捐赠比特币。这些电子邮件是由一个声称是“ COVID19Fund”的整体发送的,据称该整体与正当的卫生组织有关。他们要求援助,并提供人们可以捐赠的加密钱币钱包。

圈套电子邮件中的文本要求世界卫生组织提供援助

趋势科技的研究人员还获取了发送至全球各地(包罗美国,日本,俄罗斯和中国)的电子邮件样本。许多据称来自官方组织的电子邮件都包罗与该疾病有关的最新情形和建议。与大多数电子邮件垃圾邮件攻击一样,它们也包罗恶意附件。

其中一个样本使用了电子邮件主题“ Corona Virus Latest Updates”,并声称来自卫生部。它包罗有关若何防止熏染的建议,并附带一个附件,该附件可能包罗有关COVID-19的最新更新,但实际上带有恶意软件。

据称来自卫生部的与COVID-19相关的电子邮件垃圾邮件

许多垃圾邮件都与航运买卖有关,要么是以疾病流传而推迟为由,要么是提供航运更新的邮件。一封邮件通知发货延期。该附件据称包罗新运输时间表的详细信息,实在带有恶意软件。假设该电子邮件来自日本,它就会用日语编写详细信息。

与COVID-19相关的有关垃圾邮件的电子邮件垃圾邮件

另有其他外语样本,例如意大利语和葡萄牙语。意大利语中的电子邮件是有关该病毒的主要信息,而葡萄牙语中的电子邮件则讨论了一种假定的COVID-19疫苗。

意大利语中与COVID-19相关的电子邮件垃圾邮件

葡萄牙语中与COVID-19相关的电子邮件垃圾邮件

趋势科技的研究人员遇到了一个针对中国和意大利的电子邮件垃圾邮件样本,其中提到了针对电子邮件主题中的COVID-19的一种治愈方式,以诱使用户下载恶意附件。进一步检查发现,附件中的有用负载样本是HawkEye Reborn,这是一种窃取信息的HawkEye木马的更新版本。该文件是一个高度混淆的AutoIT剧本,已编译为可执行文件。然后,该剧本会将恶意代码注入RegSvcs.exe。转储注入的代码将天生一个.NET可执行文件,该文件也可以使用ConfuserEx打包。HawkEye示例的解密设置的一部分包罗电子邮件地址和邮件服务器,它将在其中发送其窃取的数据。

HawkEye Reborn COVID-19电子邮件垃圾邮件

趋势科技研究人员还检测到了其他针对意大利的电子邮件垃圾邮件样本。这次,在电子邮件主题中找不到该疾病的提及,而是在URL中找到了。该主题改为包罗单词“ Fattura”(意大利语为“发票”),发票编号及其预期日期。电子邮件中包罗恶意软件的附件,该附件执行PowerShell下令,该下令将从与COVID-19相关的URL下载文件。网址为hxxps://recoverrryasitalycovid-19.xyz/over

经由进一步观察,发现该恶意软件使用了Evil Clippy(一种用于建立恶意MS Office文档的工具)来隐藏其宏。

毗邻到与COVID-19相关的URL的意大利语电子邮件垃圾邮件

而且,由于意大利仍然是受COVID-19影响最严重的国家之一,威胁攻击者还通过我们在2020年3月20日检测到的另一次垃圾邮件流动继续攻击用户。趋势科技研究人员检测到6,000多个垃圾邮件事宜。

电子邮件主题和正文均以意大利语编写。主题翻译为“冠状病毒:预防措施的主要信息”。在电子邮件正文中,发件人声称附件是世界卫生组织(WHO)编写的文档,并强烈建议读者下载附件中已损坏的Microsoft Word文件。恶意文件包罗木马。

针对意大利的垃圾邮件定位用户的样本 

该文档包罗以下新闻详细信息,以吸引用户启用宏内容:

附件样本

笼罩主启动纪录(MBR)的恶意软件

趋势科技研究部最近剖析了一种以冠状病毒为主题的恶意软件,该恶意软件会笼罩系统的主启动纪录(MBR),使其无法启动。捷克网络平安机构(NUKIB)公布的公然讲述中详细先容了该恶意软件。该恶意软件文件的说明中包罗“ Coronavirus安装程序”。

恶意软件文件的详细信息

恶意软件的锁屏

当恶意软件执行时,它将自动重启计算机,然后显示无法关闭的以病毒为主题的窗口。窗口右上方的通例退出按钮不起作用。

单击左下方的“辅助”按钮将弹出一条新闻,通知用户无法启动义务管理器。右下角的“删除病毒”按钮似乎提供了一种解决方案,然则它显示为灰色且不能单击。纵然毗邻到互联网,该按钮仍然不能单击。

该恶意软件还会建立一个名为“ COVID-19”的隐藏文件夹,其中包罗多个辅助模块。手动重启系统将执行另一个二进制文件,并显示如下所示的灰色屏幕。

Covid-19文件夹的内容

手动重启后显示灰屏

该恶意软件备份原始MBR并放置文本“由Angel Castillo建立”。你的电脑在装备屏幕上显示为“计算机已损坏”。它还留下Discord的联系信息,这意味着受害者需要与黑客相同以找到解决方案。

勒索软件通常为受害者提供资金转账详细信息,包罗受害者存入资金的特定金额和加密钱币钱包。然则,最近的案例研究发现,许多恶意软件分发者已开始使用Discord向受害者提供特定的说明。

许多攻击者只是在历程开始时擦除MBR,因此此方式似乎过于庞大。辅助模块删除的文件“ Update.vbs”提供了有关其建立者为何以此方式设计历程的线索。此VBS文件将显示一个新闻框,指示用户需要Internet毗邻(可能在泛起灰屏后两分钟显示)。

屏幕推动用户毗邻到互联网

可能已添加了更多步骤来使用户毗邻到Internet,这可能是因为受害者需要在线才气笼罩MBR。在封锁的脱机环境中举行测试时,手动重新指导历程中未笼罩MBR。

趋势科技研究还剖析了可能来自SideWinder APT组的以冠状病毒为主题的恶意HTA文件。基于下令和控制基础结构及其与巴基斯坦军队的联系,SideWinder可能会使用冠状病毒作为诱饵。SideWinder是活跃组织,以军事实体为目的。他们最近一次值得注重的流动是在一月份,那时我们发现并有证据解释它们背后存在Google Play上的恶意应用。

该HTA文件包罗一个弹出式PDF引诱,显示点击诱饵题目和巴基斯坦军队的图像。它已与以下恶意URL毗邻(被趋势科技阻止):

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

· hxxp [://www.d01fa [.net / plugins / 16364/11542 / true / true /

· xxp [://www.d01fa [.net / cgi / 8ee4d36866 / 16364/11542 / 58a3a04b / file.hta

· hxxps [:// cloud-apt [.net / 202 / 6eX0Z6GW9pNVk25yO0x7DqKJzaNm6LIRaR0GCukX / 16364/11542 / 2a441439

屏幕截图

恶意网站

研究人员讲述了两个网站(antivirus-covid19 [.]网站和corona-antivirus [.] com)正在推广一个可以珍爱用户免受COVID-19损害的应用程序。通过Malwarebytes博客讲述的antivirus-covid19 [.]网站现在无法访问。然则,到目前为止,通过MalwareHunterTeam的twitter帐户讲述的网站corona-antivirus [.] com仍然处于流动状态。

这些网站声称他们的应用程序名为“ Corona Antivirus”,是哈佛大学科学家的事情功效。安装该应用程序将使BlackNET RAT恶意软件熏染系统,然后将熏染的装备添加到僵尸网络中。威胁参与者可以通过僵尸网络提议DDoS攻击,将文件上传到装备,执行剧本,截屏,网络击键,窃取比特币钱包以及网络浏览器Cookie和密码。

美国司法部(DOJ)对敲诈网站coronaviru *** edicalkit [.] com发出了暂且限制令。该网站据称正在销售经世卫组织批准的COVID-19疫苗试剂盒。然则,市场上尚无经WHO批准的正当COVID-19疫苗。

冒充网站要求US $ 4.95运费。要求用户输入其信用卡信息以继续举行买卖。今后,该网站已被删除。

Bit Discovery还发现,使用“ Corona”一词的域名数目显着增添。趋势科技研究人员确认以下域为恶意域:

· acccorona[.]com

· alphacoronavirusvaccine[.]com

· anticoronaproducts[.]com

· beatingcorona[.]com

· beatingcoronavirus[.]com

· bestcorona[.]com

· betacoronavirusvaccine[.]com

· buycoronavirusfacemasks[.]com

· byebyecoronavirus[.]com

· cdc-coronavirus[.]com

· combatcorona[.]com

· contra-coronavirus[.]com

· corona-armored[.]com

· corona-crisis[.]com

· corona-emergency[.]com

· corona-explained[.]com

· corona-iran[.]com

· corona-ratgeber[.]com

· coronadatabase[.]com

· coronadeathpool[.]com

· coronadetect[.]com

· coronadetection[.]com

一个虚伪的 *** 网站被发现诱使用户答应提供援助或拯救。下图显示了模拟正当“ gov.uk”站点的域名uk-covid-19-relieve [.] com。若是用户输入准确的邮政编码,它将询问个人信息并网络用户的银行帐户凭证。

假英国 *** 拯救场所

托管恶意文件的与病毒相关的域也仍然处于流动状态。网站hxxps:// corona-map-data [.] com / bin / regsrtjser346.exe加载了DanaBot银行木马,它能够窃取凭证并挟制受熏染的系统。

最近的另一个示例是hxxp:// coronaviruscovid19-information [.] com / en.该网站激励您下载一个名为“若何脱节冠状病毒的方式”的移动应用程序,该方式有望治愈。

网站宣传冒充应用

恶意行为者还意识到,全球许多用户已被隔离,并破费更多时间在网上寻找娱乐方式。他们使用冒充的流媒体网站或提供娱乐促销流动来吸引用户的网站。我们发现了域名hxxps:// promo-covid19-neftlix [.] ml,该域名实际上是一个偷窃Netflix帐户凭证的钓鱼网站。与往常一样,用户应始终注重自己经常使用的网站,并尽可能珍爱在线帐户的凭证。

我们注重到的另一个域名是hxxps://paypaluk-coronavirussupport.com,这是一个冒充网站,可能针对英国PayPal用户的凭证。该站点的URL花样是一个危险信号,解释它可能是恶意的,并表示该域不正当地属于PayPal。用户还应通过查看公司的官方网站或社交媒体来检查此类网站,以查看是否有新域正在运行的证据。

凭据URL的组织,目的公司的名称后面会附加一个非正当的PayPal域,以使其看起来更具说服力。这与hxxps:// promo-covid19-neftlix [.] ml使用的手艺相同。

在4月初,趋势科技研究部继续找到更多使用“冠状病毒”或“ COVID-19”术语的网络钓鱼网站,以诱骗用户。恶意行为者伪装成正当组织,以网络有价值的个人信息。以下是恶意网站用来诱骗数据的种种伪装的一些示例:

世界卫生组织(WHO)伪造的COVID-19平安门户

假疾病预防中央候补名单

假加拿大/ COVID-19应急基金

以下内容已被阻止并归类为网络钓鱼站点。

· mersrekdocuments[.]ir/Covid/COVID-19/index[.]php

· bookdocument[.]ir/Covid-19/COVID-19/index[.]php

· laciewinking[.]com/Vivek/COVID-19/

· teetronics[.]club/vv/COVID-19/

· glofinance[.]com/continue-saved-app/COVID-19/index[.]php

· starilionpla[.]website/do

· ayyappantat[.]com/img/view/COVID-19/index[.]php

· mortgageks[.]com/covid-19/

· cdc[.]gov.coronavirus.secure.portal.dog-office.online/auth/auth/login2.html

恶意行为者还在恶意文件的题目中使用了COVID-19或与冠状病毒相关的名称,试图诱骗用户打开它们。一个示例是Eeskiri-COVID-19.chm(“ eeskiri”是爱沙尼亚语),它实际上是伪装成COVID-19辅助站点的按键纪录程序。若是解压缩,它将网络目的的凭证,设置键盘纪录器,然后将所有网络的信息发送到maildrive [.icu]。

一种伪装的文件,可将键盘纪录程序卸载到受害者的系统上


本文翻译自:​https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-domains?_ga=2.182565350.1319579219.1610612606-1482036807.1514878063
上一篇 下一篇

猜你喜欢

网友评论

  • 2021-02-13 00:04:20

    舒兰流传到长春是由于一位户籍地所在舒兰区域的年轻女子与舒兰第四号确诊病例有密切接触,导致被熏染,而且现在照样无症状熏染者。很简单不俗的剧情

  • 2021-02-24 00:01:02

    全民头条网全民头条网专业报道:新闻频道、体育频道、财经频道、游戏频道、科技频道、健康养生频道等资讯库。庆祝一下~

  • 2021-07-09 00:02:56

    Allbet欢迎进入Allbet会员登录网址:www.aLLbetgame.us。Allbet会员登录网址开放Allbet代理会员登录网址、Allbet开户、Allbet代理开户、Allbet电脑客户端、Allbet手机版下载等业务。是专职作家吗

随机文章
热门文章
热评文章
热门标签