Group-IB: шпионское ПО лидирует в рассылках, паразитирующих на теме коронавируса

16 апреля 2020

Group-IB назвала самые популярные вредоносные программы, которые злоумышленники используют в своих фишинговых рассылках на тему COVID-19. Почти 65% перехваченных вредоносных рассылок несли "на борту" программы-шпионы (spyware), а ТОП-3 наиболее активно эксплуатируемых шпионских программ возглавил троян AgentTesla. Между тем, в андеграунде мнение об эксплуатации актуальной повестки разделились: часть стремится заработать на теме COVID-19, предлагая промо-акции на свои услуги, а другие представители даркнета осуждают подобные кампании.

В период с 13 февраля по 1 апреля специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB) проанализировали сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19.

Перехваченные системой предотвращения сложных киберугроз Threat Detection System (TDS) фишинговые письма содержали во вложении различные типы шпионского ПО. Сами популярными оказались программы-шпионы - 65%, второе место занимают бэкдоры - 31%, на шифровальщики приходится около 4%. Что касается шпионского ПО, то наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%).

Программы-шпионы опасны не только тем, что способны собирать данные о системе и зараженном компьютере, загружать и запускать файлы, делать скриншоты, записывать нажатие клавиш на клавиатуре, но и могут похищать данные пользователей: логины, пароли из браузеров, почтовых и FTP-клиентов, а также данные банковских карт.

Сами фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также и крупных российских и международных компаний. Рассылки были направлены как в коммерческий, тпак и в государственный секторы России и СНГ.

16 марта CERT-GIB зафиксировал новую вредоносную рассылку якобы от лица сотрудницы UNICEF - международной организации, действующей под эгидой ООН. Получателю предлагали загрузить приложение, чтобы получать обновления о ситуации с COVID-19 и рекомендации, как защитить своих сотрудников от этого вируса. К фейковому письму прилагался архив, который содержал Netwire - троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.

27 и 28 марта CERT-GIB зафиксировал две волны рассылки шпионской программы HawkEye с темой Free face Mask. Письмо было отправлено якобы от менеджера китайской компании - GALAXY ELECTRONIC INDUSTRIAL, а получателями были российские компании, в том числе из сферы энергетики. В письме говорились, что китайская компания якобы запустила завод по производству защитных масок - есть идея запустить совместный бизнес, нужно посмотреть сертификацию товара во вложении. Внутри находится RAR-архив Mask 2020.rar с вредоносным исполняемым файлом Mask 2020.exe и шпионской программой из семейства HawkEye (aka HawkSpy).

27 марта CERT-GIB зафиксировал две рассылки вируса-шифровальщика по российским нефтегазовым компаниям - в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании "Аптека.ру", содержали презентацию "лучших средств профилактики по доступной цене" под заголовком "Дарим “вакцину” от коронавируса!". Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри - обновленной версией шифровальщика Aurora.

Несмотря на то, что процент фишинговых писем, паразитирующих на теме COVID-19, невысок и составил за исследуемый период порядка 5% во всем вредоносном трафике, злоумышленники на хакерских форумах стремятся использовать панические настроения, чтобы поднять свои продажи вредоносных программ.

Например, с февраля на андеграундном форуме продается Java-загрузчик, замаскированный под интерактивную карту распространения COVID-19. Основным путем заражения является обычная фишинговая рассылка, и она, как уверяет продавец, обходит защиту Gmail благодаря использованию легитимных расширений файлов. После заражения пользователю открывается карта с актуальными данными ВОЗ и Университета Джона Хопкинса, а параллельно загружается любая полезная нагрузка, например, вредоносная программа для кражи данных. Позже - в марте - исследователи фиксировали такие рассылки со стилером AZORult.

Кроме того, команда Group-IB Threat Hunting Intelligence зафиксировала более 500 объявлений на андеграундных площадках со скидками и промокодами на период пандемии на услуги DDoD, спам-рассылок и т.д.

Впрочем, не все представители андеграунда пытаются заработать на новостной повестке, связанной с пандемией. Часть из них осуждают эксплуатацию коронавирусной тематики во вредоносных кампаниях.

В связи с тем, что многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, эксперты Group-IB прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети.

"Поскольку домашняя сеть не защищена ИБ-отделом вашей компании, злоумышленники могут атаковать в первую очередь именно пользователей на “удаленке”, чтобы добраться до инфраструктуры компании, - сказал Александр Калинин, глава CERT-GIB. - В группе риска - сотрудники финансовых учреждений, телеком-операторов и IT-компаний, а целью кибератак станет не только кража денег или персональных данных, но проникновение в корпоративную инфраструктуру через личный компьютер жертвы.Чтобы поддержать миллионы людей, которым теперь приходится работать из дома, и ИБ-команды, которым поручено создать безопасные условия удаленной работы, Group-IB запустила кампанию StayCyberSafe with Group-IB, где пользователи могут найти рекомендации по организации безопасного удаленного рабочего места".

Эксперты Group-IB рекомендуют заранее позаботиться о получении удаленного доступа к необходимым ресурсам компании для безопасной работы из дома. Важно защитить двухфакторной аутентификацией все учетные записи электронной почты удаленных сотрудников, в мессенджерах и при VPN-подключении, используемом для доступа к корпоративным сетям. Нельзя загружать и открывать корпоративные файлы на личных устройствах, не переходить по ссылкам в сообщениях, в том числе,посвященным злободневным темам (новости и распоряжения, касающиеся коронавируса, компенсации, отмены командировок и тд).