COVID-19被用于各種惡意活動，包括電子郵件垃圾郵件，BEC，惡意軟件，勒索軟件和惡意域。隨著受感染人數(shù)的激增，成千上萬的以這種疾病為誘餌的惡意行動也在增加。趨勢科技研究人員會定期從與COVID-19相關的惡意活動中獲取樣本。這份報告還包括其他研究人員的檢測結果。

對于威脅攻擊者來說，提及當前的惡意攻擊事件并不是什么新鮮事，他們會在社會工程策略中一再利用熱點話題、場合和流行人物的及時性。

在2020年第三季度，COVID-19仍然占據了頭條新聞，趨勢科技的監(jiān)測顯示，利用病毒作為誘餌的網絡威脅在9月份呈指數(shù)級增長。惡意活動激增的同時，社會工程策略也發(fā)生了變化——犯罪分子沒有使用COVID-19信息欺騙用戶，而是利用冠狀病毒相關的學校更新的數(shù)據信息。例如，許多學校要求將有關學生健康的更多信息調查作為其對抗病毒的安全措施。10月下旬，安全公司MalwareBytes Lab在一項針對不列顛哥倫比亞大學(UBC)員工的虛假健康調查中發(fā)現(xiàn)了隱藏的勒索軟件。

釣魚郵件中使用的郵件標題也發(fā)生了變化。惡意攻擊者不再是以COVID-19為主題，而是利用與工作機會相關的標題誘騙用戶打開垃圾郵件。許多人由于疫情引起的經濟衰退而失業(yè)，他們渴望找到工作機會。威脅攻擊者利用人們的痛點，誘使他們上當受騙。

COVID-19衍生的網絡威脅

垃圾郵件

由于疫情的影響，全球各地的辦公方式都在改變。日常工作的許多方面，從會議到演示和協(xié)作任務，都已轉移到網上。

當用戶適應新的工作方式時，他們應該警惕使用的在線工具、共享軟件和詐騙文件附件的網絡活動。趨勢科技研究部早在2020年2月就發(fā)現(xiàn)了有人向用戶發(fā)送冠狀病毒相關的帶有惡意附件的電子郵件。

早期與COVID-19相關的惡意電子郵件

現(xiàn)在就有利用病情作為誘餌的商業(yè)電子郵件攻擊(BEC)詐騙。BEC計劃通常通過誘騙目標公司將資金轉移給偽裝成同一公司內部人員的罪犯來實現(xiàn)。以下電子郵件使用持續(xù)的健康危機來推動其緊急行動。

使用COVID-19的BEC電子郵件示例

我們還發(fā)現(xiàn)了聲稱是救濟組織或衛(wèi)生組織的電子郵件，要求捐贈比特幣。這些電子郵件是由一個聲稱是“ COVID19Fund”的團體發(fā)送的，據稱該團體與合法的衛(wèi)生組織有關。他們要求援助，并提供人們可以捐贈的加密貨幣錢包。

騙局電子郵件中的文本要求世界衛(wèi)生組織提供援助

趨勢科技的研究人員還獲取了發(fā)送至全球各地(包括美國，日本，俄羅斯和中國)的電子郵件樣本。許多據稱來自官方組織的電子郵件都包含與該疾病有關的最新情況和建議。與大多數(shù)電子郵件垃圾郵件攻擊一樣，它們也包含惡意附件。

其中一個樣本使用了電子郵件主題“ Corona Virus Latest Updates”，并聲稱來自衛(wèi)生部。它包含有關如何防止感染的建議，并附帶一個附件，該附件可能包含有關COVID-19的最新更新，但實際上帶有惡意軟件。

據稱來自衛(wèi)生部的與COVID-19相關的電子郵件垃圾郵件

許多垃圾郵件都與航運交易有關，要么是以疾病傳播而推遲為由，要么是提供航運更新的郵件。一封郵件通知發(fā)貨延期。該附件據稱包含新運輸時間表的詳細信息，其實帶有惡意軟件。假設該電子郵件來自日本，它就會用日語編寫詳細信息。

與COVID-19相關的有關垃圾郵件的電子郵件垃圾郵件

還有其他外語樣本，例如意大利語和葡萄牙語。意大利語中的電子郵件是有關該病毒的重要信息，而葡萄牙語中的電子郵件則討論了一種假定的COVID-19疫苗。

意大利語中與COVID-19相關的電子郵件垃圾郵件

葡萄牙語中與COVID-19相關的電子郵件垃圾郵件

趨勢科技的研究人員遇到了一個針對中國和意大利的電子郵件垃圾郵件樣本，其中提到了針對電子郵件主題中的COVID-19的一種治愈方法，以誘使用戶下載惡意附件。進一步檢查發(fā)現(xiàn)，附件中的有效負載樣本是HawkEye Reborn，這是一種竊取信息的HawkEye木馬的更新版本。該文件是一個高度混淆的AutoIT腳本，已編譯為可執(zhí)行文件。然后，該腳本會將惡意代碼注入RegSvcs.exe。轉儲注入的代碼將生成一個.NET可執(zhí)行文件，該文件也可以使用ConfuserEx打包。HawkEye示例的解密配置的一部分包括電子郵件地址和郵件服務器，它將在其中發(fā)送其竊取的數(shù)據。

HawkEye Reborn COVID-19電子郵件垃圾郵件

趨勢科技研究人員還檢測到了其他針對意大利的電子郵件垃圾郵件樣本。這次，在電子郵件主題中找不到該疾病的提及，而是在URL中找到了。該主題改為包含單詞“ Fattura”(意大利語為“發(fā)票”)，發(fā)票編號及其預期日期。電子郵件中包含惡意軟件的附件，該附件執(zhí)行PowerShell命令，該命令將從與COVID-19相關的URL下載文件。網址為hxxps：//recoverrryasitalycovid-19.xyz/over

經過進一步調查，發(fā)現(xiàn)該惡意軟件使用了Evil Clippy(一種用于創(chuàng)建惡意MS Office文檔的工具)來隱藏其宏。

連接到與COVID-19相關的URL的意大利語電子郵件垃圾郵件

而且，由于意大利仍然是受COVID-19影響最嚴重的國家之一，威脅攻擊者還通過我們在2020年3月20日檢測到的另一次垃圾郵件活動繼續(xù)攻擊用戶。趨勢科技研究人員檢測到6,000多個垃圾郵件事件。

電子郵件主題和正文均以意大利語編寫。主題翻譯為“冠狀病毒：預防措施的重要信息”。在電子郵件正文中，發(fā)件人聲稱附件是世界衛(wèi)生組織(WHO)編寫的文檔，并強烈建議讀者下載附件中已損壞的Microsoft Word文件。惡意文件包含木馬。

針對意大利的垃圾郵件定位用戶的樣本

該文檔包含以下消息詳細信息，以吸引用戶啟用宏內容：

附件樣本

覆蓋主啟動記錄(MBR)的惡意軟件

趨勢科技研究部最近分析了一種以冠狀病毒為主題的惡意軟件，該惡意軟件會覆蓋系統(tǒng)的主啟動記錄(MBR)，使其無法啟動。捷克網絡安全機構(NUKIB)發(fā)布的公開報告中詳細介紹了該惡意軟件。該惡意軟件文件的說明中包含“ Coronavirus安裝程序”。

惡意軟件文件的詳細信息

惡意軟件的鎖屏

當惡意軟件執(zhí)行時，它將自動重啟計算機，然后顯示無法關閉的以病毒為主題的窗口。窗口右上方的常規(guī)退出按鈕不起作用。

單擊左下方的“幫助”按鈕將彈出一條消息，通知用戶無法啟動任務管理器。右下角的“刪除病毒”按鈕似乎提供了一種解決方案，但是它顯示為灰色且不可單擊。即使連接到互聯(lián)網，該按鈕仍然不可單擊。

該惡意軟件還會創(chuàng)建一個名為“ COVID-19”的隱藏文件夾，其中包含多個輔助模塊。手動重啟系統(tǒng)將執(zhí)行另一個二進制文件，并顯示如下所示的灰色屏幕。

Covid-19文件夾的內容

手動重啟后顯示灰屏

該惡意軟件備份原始MBR并放置文本“由Angel Castillo創(chuàng)建”。你的電腦在設備屏幕上顯示為“計算機已損壞”。它還留下Discord的聯(lián)系信息，這意味著受害者需要與黑客溝通以找到解決方案。

勒索軟件通常為受害者提供資金轉賬詳細信息，包括受害者存入資金的特定金額和加密貨幣錢包。但是，最近的案例研究發(fā)現(xiàn)，許多惡意軟件分發(fā)者已開始使用Discord向受害者提供特定的說明。

許多攻擊者只是在進程開始時擦除MBR，因此此方法似乎過于復雜。輔助模塊刪除的文件“ Update.vbs”提供了有關其創(chuàng)建者為何以此方式設計過程的線索。此VBS文件將顯示一個消息框，指示用戶需要Internet連接(可能在出現(xiàn)灰屏后兩分鐘顯示)。

屏幕推動用戶連接到互聯(lián)網

可能已添加了更多步驟來使用戶連接到Internet，這可能是因為受害者需要在線才能覆蓋MBR。在封閉的脫機環(huán)境中進行測試時，手動重新引導過程中未覆蓋MBR。

趨勢科技研究還分析了可能來自SideWinder APT組的以冠狀病毒為主題的惡意HTA文件?；诿詈涂刂苹A結構及其與巴基斯坦軍隊的聯(lián)系，SideWinder可能會使用冠狀病毒作為誘餌。SideWinder是活躍組織，以軍事實體為目標。他們最近一次值得注意的活動是在一月份，當時我們發(fā)現(xiàn)并有證據表明它們背后存在Google Play上的惡意應用。

該HTA文件包含一個彈出式PDF引誘，顯示點擊誘餌標題和巴基斯坦軍隊的圖像。它已與以下惡意URL連接(被趨勢科技阻止)：

• hxxp [：//www.d01fa [.net / plugins / 16364/11542 / true / true /
• xxp [：//www.d01fa [.net / cgi / 8ee4d36866 / 16364/11542 / 58a3a04b / file.hta
• hxxps [：// cloud-apt [.net / 202 / 6eX0Z6GW9pNVk25yO0x7DqKJzaNm6LIRaR0GCukX / 16364/11542 / 2a441439

屏幕截圖

惡意網站

研究人員報告了兩個網站(antivirus-covid19 [.]網站和corona-antivirus [.] com)正在推廣一個可以保護用戶免受COVID-19侵害的應用程序。通過Malwarebytes博客報告的antivirus-covid19 [.]網站現(xiàn)在無法訪問。但是，到目前為止，通過MalwareHunterTeam的twitter帳戶報告的網站corona-antivirus [.] com仍然處于活動狀態(tài)。

這些網站聲稱他們的應用程序名為“ Corona Antivirus”，是哈佛大學科學家的工作成果。安裝該應用程序將使BlackNET RAT惡意軟件感染系統(tǒng)，然后將感染的設備添加到僵尸網絡中。威脅參與者可以通過僵尸網絡發(fā)起DDoS攻擊，將文件上傳到設備，執(zhí)行腳本，截屏，收集擊鍵，竊取比特幣錢包以及收集瀏覽器Cookie和密碼。

美國司法部(DOJ)對欺詐網站coronavirusmedicalkit [.] com發(fā)出了臨時限制令。該網站據稱正在銷售經世衛(wèi)組織批準的COVID-19疫苗試劑盒。但是，市場上尚無經WHO批準的合法COVID-19疫苗。

假冒網站要求US $ 4.95運費。要求用戶輸入其信用卡信息以繼續(xù)進行交易。此后，該網站已被刪除。

Bit Discovery還發(fā)現(xiàn)，使用“ Corona”一詞的域名數(shù)量顯著增加。趨勢科技研究人員確認以下域為惡意域：

• acccorona[.]com
• alphacoronavirusvaccine[.]com
• anticoronaproducts[.]com
• beatingcorona[.]com
• beatingcoronavirus[.]com
• bestcorona[.]com
• betacoronavirusvaccine[.]com
• buycoronavirusfacemasks[.]com
• byebyecoronavirus[.]com
• cdc-coronavirus[.]com
• combatcorona[.]com
• contra-coronavirus[.]com
• corona-armored[.]com
• corona-crisis[.]com
• corona-emergency[.]com
• corona-explained[.]com
• corona-iran[.]com
• corona-ratgeber[.]com
• coronadatabase[.]com
• coronadeathpool[.]com
• coronadetect[.]com
• coronadetection[.]com

一個虛假的政府網站被發(fā)現(xiàn)誘使用戶承諾提供援助或救濟。下圖顯示了模仿合法“ gov.uk”站點的域名uk-covid-19-relieve [.] com。如果用戶輸入正確的郵政編碼，它將詢問個人信息并收集用戶的銀行帳戶憑據。

假英國政府救濟場所

托管惡意文件的與病毒相關的域也仍然處于活動狀態(tài)。網站hxxps：// corona-map-data [.] com / bin / regsrtjser346.exe加載了DanaBot銀行木馬，它能夠竊取憑據并劫持受感染的系統(tǒng)。

最近的另一個示例是hxxp：// coronaviruscovid19-information [.] com / en.該網站鼓勵您下載一個名為“如何擺脫冠狀病毒的方法”的移動應用程序，該方法有望治愈。

網站宣傳假冒應用

惡意行為者還意識到，全球許多用戶已被隔離，并花費更多時間在網上尋找娛樂方式。他們使用假冒的流媒體網站或提供娛樂促銷活動來吸引用戶的網站。我們發(fā)現(xiàn)了域名hxxps：// promo-covid19-neftlix [.] ml，該域名實際上是一個盜竊Netflix帳戶憑據的釣魚網站。與往常一樣，用戶應始終注意自己經常使用的網站，并盡可能保護在線帳戶的憑據。

我們注意到的另一個域名是hxxps：//paypaluk-coronavirussupport.com，這是一個假冒網站，可能針對英國PayPal用戶的憑據。該站點的URL格式是一個危險信號，表明它可能是惡意的，并暗示該域不合法地屬于PayPal。用戶還應通過查看公司的官方網站或社交媒體來檢查此類網站，以查看是否有新域正在運行的證據。

根據URL的構造，目標公司的名稱后面會附加一個非合法的PayPal域，以使其看起來更具說服力。這與hxxps：// promo-covid19-neftlix [.] ml使用的技術相同。

在4月初，趨勢科技研究部繼續(xù)找到更多使用“冠狀病毒”或“ COVID-19”術語的網絡釣魚網站，以誘騙用戶。惡意行為者偽裝成合法組織，以收集有價值的個人信息。以下是惡意網站用來誘騙數(shù)據的各種偽裝的一些示例：

世界衛(wèi)生組織(WHO)偽造的COVID-19安全門戶

假疾病預防中心候補名單

假加拿大/ COVID-19應急基金

以下內容已被阻止并歸類為網絡釣魚站點。

• mersrekdocuments[.]ir/Covid/COVID-19/index[.]php
• bookdocument[.]ir/Covid-19/COVID-19/index[.]php
• laciewinking[.]com/Vivek/COVID-19/
• teetronics[.]club/vv/COVID-19/
• glofinance[.]com/continue-saved-app/COVID-19/index[.]php
• starilionpla[.]website/do
• ayyappantat[.]com/img/view/COVID-19/index[.]php
• mortgageks[.]com/covid-19/
• cdc[.]gov.coronavirus.secure.portal.dog-office.online/auth/auth/login2.html

惡意行為者還在惡意文件的標題中使用了COVID-19或與冠狀病毒相關的名稱，試圖誘騙用戶打開它們。一個示例是Eeskiri-COVID-19.chm(“ eeskiri”是愛沙尼亞語)，它實際上是偽裝成COVID-19幫助站點的按鍵記錄程序。如果解壓縮，它將收集目標的憑據，設置鍵盤記錄器，然后將所有收集的信息發(fā)送到maildrive [.icu]。

一種偽裝的文件，可將鍵盤記錄程序卸載到受害者的系統(tǒng)上

本文翻譯自：

​https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-domains?_ga=2.182565350.1319579219.1610612606-1482036807.1514878063