Oplichting en malware rondom het coronavirus

Cybercriminelen maken altijd misbruik van crisissituaties. Ook nu er behoefte is aan informatie over het coronavirus zien we dit gebeuren. Zo is oplichterij rond het coronavirus toegenomen sinds de Wereldgezondheidsorganisatie de uitbraak als een pandemie heeft geclassificeerd.

Dit blijkt uit onderzoek van Zscaler. De beveiligingsonderzoekers van het ThreatLabZ-team dringen aan op voorzichtigheid met websites, veelbelovende links of bijlagen met betrekking tot coronavirus / COVID-19. Een analyse van enkele oplichtingpraktijken die momenteel de ronde doen:

Nieuw geregistreerde domeinen

Sinds het coronavirus / COVID-19 door de WHO tot noodsituatie voor de gezondheid is verklaard, is er veel verkeerde informatie verspreid over mogelijke genezing, vaccins en het gebruik van beschermende maskers. Cybercriminelen profiteren van de informatiebehoefte en registreren nieuwe domeinen over deze onderwerpen. De afgelopen twee weken zijn er alleen al over de maskers meer dan 200 nieuwe domeinen geregistreerd. Veel van deze domeinen staan ??momenteel geparkeerd en zijn gereserveerd voor later gebruik. In de Zscaler-cloud zijn de afgelopen weken ongeveer 30.000 toegangspogingen geregistreerd bij nieuw geregistreerde domeinen met als onderwerp "Corona / COVID-19".

Fig.1: Dataverkeer rond het coronavirus / COVID-19 in de afgelopen weken in de Zscaler-cloud

Bovendien wordt de huidige discussie over het plaatsvinden of mogelijk annuleren van sportevenementen door cybercriminelen gebruikt om nietsvermoedende gebruikers naar nepwebsites te lokken. Aangezien talloze sportevenementen al zijn geannuleerd of uitgesteld, willen sportfans graag weten hoe het zit met de Olympische Zomerspelen. Er verschijnen dus ook websites die van deze nieuwsgierigheid profiteren. Een van deze nieuw geregistreerde domeinen is bijvoorbeeld coronalympics2020[.]com, die werd geregistreerd op 7 maart 2020. Enkele andere domeinen die worden gevonden in verband met de zomerspelen en het virus zijn CoronavirusOlympics[.]com, geregistreerd op 26 februari 2020, en CoronaOlympics[.]com, geregistreerd op 5 maart 2020.

Oplichterij met mobiele apps, testen en phishing

Tijdens het onderzoek troffen de ThreatLabZ-analisten een hele reeks websites aan die een wondermiddel of absurde behandelmethoden voor COVID-19 beloven en zo winst uit de situatie willen halen.

Fig. 2: Een nepwebsite die adverteert met een 'Corona Antivirus'-product

Omdat niet iedereen getest kan worden en de testen in sommige landen erg duur zijn, worden zogenaamde testkits aangeboden op frauduleuze oplichtingsites. Deze nep-aanbieders zijn al begonnen met het aannemen van pre-orders voor een 'coronavirus-thuistest'. Het aanbod is echter frauduleus.

Fig 3: Een website die beweert thuistests voor het coronavirus te verkopen

In andere malware-campagnes gebruiken cybercriminelen "Corona" of "Covid" als sleutelwoorden voor hun phishing-URL's. Een voorbeeld is een nep-startpagina van Outlook die angstige gebruikers target en doorstuurt naar een cdc.gov-URL. Deze URL staat bekend als een credential-farm en steelt alle ingevoerde gebruikersgegevens.

Malware-campagnes

‘Corona’ en ‘Covid’ worden bovendien gebruikt als zoekwoorden in bijlagen of bestandsnamen van malware-campagnes. Zo zetten malware-actoren bijvoorbeeld een besmette website in met daarop de kaart over de corona-verspreiding van John Hopkins University, om zo geïnteresseerden te infecteren. Op deze manier is bijvoorbeeld de AzoRult Infostealer gedistribueerd, een Trojaans paard dat informatie van een systeem verzamelt. In de Zscaler Cloud Sandbox is ook een SpyGate backdoor-campagne ontdekt die werkt met de term covid.exe.

Meer technische informatie is te vinden in deze Engelstalige blogpost.