接上文《新冠疫情下的網(wǎng)絡(luò)威脅：COVID-19衍生的惡意活動(上)》

惡意社交媒體消息傳遞

趨勢科技研究部調(diào)查了通過Facebook Messenger在線傳播的欺詐和網(wǎng)絡(luò)釣魚策略。以下是以承諾兩個月免費優(yōu)質(zhì)Netflix訂閱為誘餌的消息示例：

捕獲的短信騙局圖像

通過Facebook Messenger發(fā)送的URL為短URL形式，即hxxps：// bit [.] ly / 34phlJE，然后重定向到兩個可能的頁面。下面詳細介紹了這些方案：

第一種方案：

如果用戶已經(jīng)登錄到其Facebook帳戶，它將繼續(xù)并重定向到偽造的Netflix頁面(如下所示)。

欺詐性的Netflix頁面

該頁面捕獲受害者的Facebook登錄憑據(jù)，并在Facebook中創(chuàng)建名為“ NeTflix”的應(yīng)用程序的有效訂閱。該應(yīng)用只是用戶已受到威脅的指示器。如果用戶已經(jīng)訂閱了該偽造的應(yīng)用程序，然后再次單擊該惡意鏈接，則他們將被重定向到第二頁，下一節(jié)將對此進行詳細介紹。

再次單擊鏈接的訂戶將被重定向到此頁面

第二種情況：

這是第二種可能性。未登錄Facebook帳戶的用戶將被重定向到Facebook登錄頁面。

重定向到Facebook登錄頁面

如果用戶輸入其帳戶憑據(jù)，它將重定向到第一種情況中顯示的欺詐頁面。如果用戶單擊“不是現(xiàn)在”按鈕，它將重定向到偽造的Netflix頁面，如下所示。該頁面包含一個虛假的Netflix報價和右側(cè)的調(diào)查，其中包含有關(guān)COVID-19和清潔習慣的問題。騙子使用免費的，新創(chuàng)建的與Netflix無關(guān)的域名。

假Netflix報價

敦促受害者分發(fā)

在調(diào)查結(jié)束時，它將要求用戶共享或邀請20個朋友或五個組完成調(diào)查，然后用戶才能繼續(xù)并接收其假冒的免費Netflix訂閱(圖6)。該調(diào)查包含隨機問題，并接受用戶鍵入的任何答案。使用戶可以順利繼續(xù)進行下一步。

不管用戶在調(diào)查結(jié)束時點擊“發(fā)送”或“繼續(xù)”按鈕，它都會將用戶重定向到同一頁面-Facebook共享提示。在下一步中，再次敦促用戶通過單擊Facebook聯(lián)系人的“共享”按鈕來傳播惡意鏈接。然后，將提示用戶登錄Facebook。

用戶被要求登錄Facebook

輸入他們的Facebook登錄憑據(jù)的用戶將被帶到自動生成的帖子。單擊“發(fā)布”按鈕將在用戶的Facebook頁面上發(fā)布有關(guān)惡意鏈接的狀態(tài)。

將要求用戶在其Facebook頁面上發(fā)布鏈接

這兩種情況表明，無論用戶已經(jīng)登錄還是拒絕提供其憑據(jù)，都將被迫共享欺詐性鏈接。以下URL被識別為惡意URL，并已被趨勢科技阻止：

• hxxp：// bit [.] ly / 3ec3SsW-flixx.xyz
• hxxp：// bit [.] ly / 2x0fzlU-smoothdrive.xyz
• hxxp：// bit [.] ly / 39ZIS5F-flixa.xyz

以下是幫助用戶避免此類攻擊的建議：

• 不要單擊來自未知發(fā)件人的鏈接或共享文件。
• 檢查共享的信息是否來自合法來源。
• 檢查詢問您信息的網(wǎng)站的URL。
• 請勿將個人信息或憑據(jù)提供給未經(jīng)驗證的網(wǎng)站。

由于世界各地的人們都在家里辦公，因此大多數(shù)用戶都容易受到上述簡單攻擊的攻擊。社交媒體在獲得最新信息方面發(fā)揮著至關(guān)重要的作用，但同時也可以用于網(wǎng)絡(luò)攻擊。每個人都應(yīng)努力保持安全，不僅要免受大流行的威脅，還應(yīng)免受數(shù)字威脅。

惡意軟件

Brian Krebs揭示一個交互式的COVID-19地圖被用來傳播竊取信息的惡意軟件，該地圖由約翰·霍普金斯大學(Johns Hopkins University)創(chuàng)建，是一個交互式儀表板，顯示感染和死亡情況。俄羅斯地下論壇的幾名成員利用了這一優(yōu)勢，并出售了數(shù)字COVID-19感染工具包，該工具包部署了基于Java的惡意軟件。引誘受害者打開地圖，甚至分享地圖。

此外，趨勢科技研究部還分析了以冠狀病毒為主題的Winlocker，該軟件可將用戶鎖定在受影響的計算機之外。執(zhí)行后，該惡意軟件會丟棄文件并修改系統(tǒng)注冊表。然后，它會顯示一條消息，通過Windows播放恐怖的聲音，并要求輸入密碼才能解鎖機器。根據(jù)此視頻示例，勒索軟件變種似乎是2019年的一個修改和重新利用的惡意軟件。截止到撰寫本文時，還沒有在野看到這種惡意軟件。

執(zhí)行后，惡意軟件會丟棄大量文件;并創(chuàng)建以下文件的副本：

C：\ wh \ speakh.vbs 
C：\ wh \ antiwh.vbs 
C：\ wh \ diex.bat 
C：\ awh \ anti-exe 

刪除文件列表

它還修改注冊表項。修改后的注冊表項將為以下組件創(chuàng)建自動運行項：

C：\ wh \ speakh.vbs 
C：\ wh \ antiwh.vbs 
C：\ wh \ diex.bat 

然后，它會禁用某些基本功能的資源管理器策略，使受影響的Windows系統(tǒng)幾乎無法導(dǎo)航。它修改了法律聲明的標題，如下：

修改通知

歡迎消息后，受影響的計算機的壁紙將替換為“冠狀病毒”圖像。屏幕上還顯示一個框，通知用戶機器已被鎖定，并且文件恢復(fù)需要解密代碼。

該屏幕來自放置的文件antiwh.vbs，該文件在系統(tǒng)啟動時執(zhí)行。根據(jù)分析的惡意軟件腳本，加載explorer.exe所需的正確代碼是“ vb”。

鎖屏圖像

每次啟動時都會執(zhí)行另一個腳本(C：\ wh \ antiwh.vbs)，以利用Windows語音功能在循環(huán)播放說“coronavirus”。

Windows語音功能用于循環(huán)“冠狀病毒”

文件C：\ wh \ diex.bat在啟動時終止explorer.exe。對其他已刪除的二進制文件(“ C：\ awh \ anti-exe”)的進一步分析表明，它是此惡意軟件的受密碼保護的解鎖器。執(zhí)行后，它要求輸入密碼。我們嘗試使用與先前腳本相同的密碼“ vb”。

受密碼保護的解鎖器安裝程序

成功安裝后，解鎖器將刪除以下文件：

解鎖器安裝的文件

根據(jù)maurag.reg的內(nèi)容，它還原注冊表項以使系統(tǒng)再次可用。文件“ boom.bat”將刪除放置在c：\ wh \中的文件，并顯示以下消息：

惡意軟件注意事項

商業(yè)電子郵件泄露(BEC)

Agari網(wǎng)絡(luò)情報部(ACID)報告了一次涉及COVID-19的商業(yè)電子郵件泄露(BEC)攻擊。這次攻擊是早期BEC活動的延續(xù)，來自Ancient Tortoise，這是過去多個BEC案件背后的網(wǎng)絡(luò)犯罪組織。

威脅行為者首先將應(yīng)收賬款作為轉(zhuǎn)發(fā)賬齡報告(應(yīng)收賬款報告)。然后，他們冒充合法公司，利用這些報告中的客戶信息發(fā)送電子郵件，告知客戶由于COVID-19導(dǎo)致銀行和付款方式發(fā)生變化。

勒索軟件

據(jù)MalwareHunterTeam報告，一個名為CoronaVirus的新勒索軟件變種通過偽造的Wise Cleaner網(wǎng)站傳播，該網(wǎng)站據(jù)稱可以促進系統(tǒng)優(yōu)化。受害者在不知不覺中從假網(wǎng)站下載文件WSGSetup.exe。上述文件充當兩種惡意軟件的下載程序：CoronaVirus勒索軟件和名為Kpot的竊取密碼木馬。該活動緊跟最近勒索軟件攻擊的趨勢，這種攻擊不僅限于加密數(shù)據(jù)，還包括竊取信息。

另一個事件是由勒索軟件引起的攻擊襲擊了捷克共和國布爾諾的一家大學醫(yī)院，該醫(yī)院是COVID-19測試中心。由于襲擊，該醫(yī)院的計算機系統(tǒng)已關(guān)閉，從而延遲了COVID-19測試結(jié)果的發(fā)布。

根據(jù)來自Bleeping Computer的報道，威脅參與者還發(fā)起了新的網(wǎng)絡(luò)釣魚活動，傳播Netwalker勒索軟件。活動使用名為“CORONAVIRUS.COVID-19.vbs”的附件，其中包含嵌入式Netwalker勒索軟件可執(zhí)行文件。

執(zhí)行腳本后，EXE文件將保存到%Temp%\ qeSw.exe。啟動此文件將導(dǎo)致計算機上其他文件的加密。然后，受害者會找到一張贖金通知單，上面有如何通過Tor支付網(wǎng)站支付贖金的說明。

移動威脅

一個名為CovidLock的移動勒索軟件是來自一個惡意的Android應(yīng)用程序，據(jù)說它可以幫助追蹤COVID-19的情況。勒索軟件會鎖定受害者的手機，受害者可以在48小時內(nèi)支付100美元的比特幣，重新獲得手機訪問權(quán)。否則威脅將刪除包括手機中存儲的數(shù)據(jù)和泄露社交媒體賬戶的詳細信息。查看他們的加密貨幣錢包可以發(fā)現(xiàn)，一些受害者已經(jīng)在3月20日支付了贖金。截止撰寫本報告時，最終余額為0.00018096 BTC。

也有報告稱惡意Android應(yīng)用程序為擔心COVID-19的目標提供了安全面具。不幸的是，惡意應(yīng)用程序?qū)嶋H上提供了一個SMSTrojan，它可以收集受害者的聯(lián)系人列表并發(fā)送SMS消息以進行自我傳播。到目前為止，該應(yīng)用程序似乎處于開發(fā)的早期階段，只是在試圖傳播盡可能多的用戶。

瀏覽器應(yīng)用

據(jù)消息，一個新的網(wǎng)絡(luò)攻擊傳播偽造的COVID-19信息應(yīng)用程序，該應(yīng)用程序據(jù)稱來自世界衛(wèi)生組織(WHO)。Bleeping Computer報告說，該活動涉及黑客入侵D-Link或Linksys路由器中的路由器的域名系統(tǒng)(DNS)設(shè)置，以提示W(wǎng)eb瀏覽器顯示來自所述應(yīng)用程序的警報。

用戶反應(yīng)說，他們的瀏覽器會在沒有提示的情況下自動打開，然后只顯示一條消息，要求他們點擊一個按鈕下載一個“ COVID-19 Inform App”。點擊該按鈕將下載并在設(shè)備上安裝Oski信息竊取程序。該惡意軟件變種可以竊取瀏覽器Cookie，瀏覽器歷史記錄，瀏覽器付款信息，已保存的登錄憑據(jù)，加密貨幣錢包等。

色情騙局

Sophos報告的一項性交易計劃要求獲得4,000美元的比特幣，否則，他們威脅要用COVID-19感染受害者的家人。受害者會收到電子郵件，通知他們威脅攻擊者知道他們的所有密碼，行蹤以及與個人活動有關(guān)的其他詳細信息。電子郵件發(fā)件人威脅說，如果受害者沒有在24小時內(nèi)付款，他們將公布這些數(shù)據(jù)。不過，沒有確切的證據(jù)表明，攻擊者實際上是否有權(quán)訪問數(shù)據(jù)。

趨勢科技研究公司(Trend Micro Research)發(fā)現(xiàn)了一個類似的安全公司Sophos的勒索騙局。如果沒有滿足他們的要求，網(wǎng)絡(luò)犯罪分子將會給受害者傳播COVID-19。

下圖顯示了騙子使用恐嚇手段來操縱用戶。黑客聲稱，他們已經(jīng)以某種方式滲透到用戶的系統(tǒng)中，并且可以從用戶自己的帳戶發(fā)送電子郵件。實際上，垃圾郵件的發(fā)件人與電子郵件的收件人相同，因此，如果目標回復(fù)郵件，他們將再次收到相同的電子郵件。這使人們誤認為或更加擔心黑客已經(jīng)以某種方式侵入他們的系統(tǒng)，并掌握了他們行蹤的個人信息。然后，黑客要求賠償500美元，否則他會將傳播病毒。

COVID-19被勒索

地下論壇的現(xiàn)狀

地下論壇和網(wǎng)絡(luò)犯罪市場的運作方式與合法銷售場所的運作方式相同：供應(yīng)商關(guān)注國際新聞和市場，并通過滿足市場需求來獲利。

一個受歡迎的地下論壇創(chuàng)建了有限的冠狀病毒獎，人們可以購買衛(wèi)生紙或“冠狀病毒”圖標添加到用戶的個人資料

我們通常會在自然災(zāi)害或重大世界事件后看到類似主題的惡意軟件，當前的冠狀病毒(COVID-19)大流行也是如此。我們在地下論壇中看到與該病毒相關(guān)的網(wǎng)絡(luò)釣魚，漏洞利用和惡意軟件的多個列表。一名用戶(如下圖所示)要求以200美元的價格購買私人建造的冠狀病毒主題的網(wǎng)絡(luò)釣魚攻擊，并索要700美元的代碼簽名證書。

在俄羅斯地下論壇上出售以冠狀病毒為主題的網(wǎng)絡(luò)釣魚漏洞

大流行迅速改變了消費者的習慣。多個國家的人們都在努力尋找生活必需的用品，衛(wèi)生紙和口罩的需求量很大。趨勢科技研究發(fā)現(xiàn)，許多地下論壇現(xiàn)在都在出售N95口罩，衛(wèi)生紙，通風機，溫度計和病人監(jiān)護儀等產(chǎn)品。我們已經(jīng)看到有提供N95口罩(每個5美元)和廁紙卷(10美元)的帖子。隨著股票的暴跌，地下論壇的用戶也一直在討論現(xiàn)在是否是投資比特幣的好時機。比特幣的價值在一個月內(nèi)從8914美元(2月27日)跌至6620美元(3月27日)。

地下賣家提供3M N95口罩

提供N95口罩的論壇帖子

論壇帖子提供衛(wèi)生紙卷

關(guān)于現(xiàn)在是否是投資加密貨幣的好時機的話題

一些賣家使用“冠狀病毒”作為廣告標題或正文中的關(guān)鍵字以增加銷量。他們提供以病毒為主題的銷售，甚至尋找合資企業(yè)的合作伙伴。我們甚至發(fā)現(xiàn)一些用戶在討論如何利用該病毒來進行社會工程騙局。

Darkweb市場提供大麻“冠狀病毒銷售”

賣方正在尋找與冠狀病毒有關(guān)的合資企業(yè)

在許多國家/地區(qū)，人們被要求留在家中，企業(yè)倒閉，失業(yè)人數(shù)增加。所以，地下賣家的收入下降了，因為人們花錢的次數(shù)減少了。論壇上的賣家抱怨說，退市騙局也在增加。由于錢騾子也害怕感染病毒，依靠錢騾子和運輸工具的地下企業(yè)也受到了影響。在多個論壇上的搜索結(jié)果顯示，許多人討論的是如何防止感染COVID-19病毒，如何制作洗手液，論壇用戶如何應(yīng)對城市封鎖，以及對病毒的普遍關(guān)注。

COVID-19威脅的范圍

據(jù)數(shù)據(jù)表明，電子郵件，URL和文件之間存在數(shù)百萬種威脅。以下數(shù)據(jù)代表2020年第三季度收集的信息。

使用COVID-19的威脅圖

惡意URL涵蓋了與網(wǎng)絡(luò)釣魚相關(guān)的網(wǎng)站，騙局和轉(zhuǎn)儲惡意軟件(例如軟件，勒索軟件)的域的范圍。在下面的圖表中，我們列出了用戶不經(jīng)意訪問其字符串中包含covid，covid-19，coronavirus或ncov的惡意URL的前十個國家。我們的年中匯總顯示，用戶嘗試訪問與Covid-19相關(guān)的惡意URL的次數(shù)在4月達到頂峰，而5月和6月則保持穩(wěn)定。但是，在第三季度，我們看到活動再次上升，尤其是在八月和九月。

2020年第三季度用戶訪問與COVID相關(guān)的惡意URL最多的國家

訪問了與COVID-19相關(guān)的惡意URL的實例

如上文詳述的威脅樣本所示，這些威脅中有很大一部分與垃圾郵件有關(guān)。正如我們在年中綜述中指出的那樣，到2020年上半年，電子郵件威脅占所有Covid-19相關(guān)威脅的91.5%，是惡意參與者最常用的切入點。在今年第三季度，由于惡意活動以相對較高的速度持續(xù)，用戶仍應(yīng)保持警惕。

本文翻譯自：

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-domains?_ga=2.181130599.1319579219.1610612606-1482036807.1514878063