Русский
Русский
English
Статистика
Реклама

Инъекция обмана вакцины от COVID-19 в мошеннических кампаниях

Пандемия COVID-19 перевела в онлайн миллионы людей. Необходимость уменьшить физический контакт привела к тому, что большая часть жизни перешла в интернет, увеличив зависимость человечества от онлайн-платформ. На росте доверия к интернет-платформам расцвели массовые мошеннические кампании. Одним из наиболее популярных инфоповодов для этих кампаний стали вакцины. Вэтом посте расскажем о вредоносных программах, спаме, фишинговых схемах и сайтах, связанных с вакцинами от COVID-19.

Спам-кампании

Мы зафиксировали спам-кампании, использующие тему вакцин от ковида, уже в первом квартале 2020 года, даже до начала всемирного локдауна. Первыми подсуетились операторы вредоносов Emotet, Fareit, Agent Tesla и Remcos.

Emotet

Спам-кампания по распространению этого вредоноса началась сразу после Нового года и была направлена против предприятий здравоохранения, обрабатывающей промышленности, банков и транспортной отрасли в США, Италии и Канаде. Для распространения трояна использовались более 80 различных вариантов вредоносных документов, вложенных в письма. Их имена содержали слово COVID как основной фактор для привлечения внимания:

  • Daily COVID reporting.doc

  • DAILY COVID-19 Information.doc

  • NQ29526013I_COVID-19_SARS-CoV-2.doc

  • GJ-5679 Medical report Covid-19.doc

Вот некоторые темы писем, которые получали потенциальные жертвы:

  • COVID-19 Vaccine Survey;

  • RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now;

  • Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020.

Для проведения этой кампании использовались более ста серверов управления, расположенных в 33 странах. После того как эксперты по кибербезопасности провели операцию по перехвату управления этими серверами, кампания благополучно стихла.

Fareit

Этот вредонос крадёт личную информацию и учётные данные, сохранённые в браузерах, клиентах электронной почты и FTP. Для его распространения также была организована спам-кампания, в которой использовались темы, связанные с вакцинами от ковида:

  • Corona-virus(COVID-19),Common vaccine;

  • Corona-Virus Disease (COVID-19) Pandemic Vaccine Released;

  • Latest vaccine release for Corona-virus(COVID-19).

Имена вложений к письмам также содержали упоминания вакцины от COVID:

  • Corona-virus vaccine.arj

  • COVID-19 VACCINE SAMPLES.arj

  • COVID-19 Vaccine.arj

  • vaccine release for Corona-virus(COVID-19)_pdf.rar

Пример одного из вредоносных писем, отправленных операторами Fareit. Источник (здесь и далее): Trend MicroПример одного из вредоносных писем, отправленных операторами Fareit. Источник (здесь и далее): Trend Micro

В качестве адресов отправителей злоумышленники использовали представителей ВОЗ и имена врачей. Больше всего от Fareit пострадали Германия, США, Италия, Китай, Испания и Израиль.

Остальные

Тему вакцин от коронавируса активно эксплуатировали и операторы других вредоносов, например, Lokibot, Agent Tesla, Formbook, Remcos, Nanocore.

В ноябре 2020 года операторы вымогателя Zebocry рассылали вредонос, выдавая себя за фармацевтическую компанию Sinopharm, которая производит вакцины COVID-19. Для распространения кода злоумышленники использовали файл виртуального жёсткого диска (VHD), содержащий два файла: PDF с презентацией Sinopharm и документ Microsoft Word с вредоносными макросами.

Фишинг

Дефицит вакцин в Европе и США привёл к тому, что люди, напуганные болезнью, стали искать способы быстрее получить спасительный укол. Спросом не замедлили воспользоваться мошенники. Одна из таких кампаний проводилась от имени Национальной службы здравоохранения Великобритании (NHS). Фишинговое письмо приглашало на вакцинацию и предлагало пользователю подтвердить согласие.

Фишинговое письмо от NHS с приглашением на вакцинациюФишинговое письмо от NHS с приглашением на вакцинацию

Независимо от того, нажал ли пользователь ссылку принять или отклонить приглашение, он попадал на целевую страницу с формой, в которую ему предлагалось ввести полное имя, дату рождения, адрес и номер мобильного телефона. Мы обнаружили эту кампанию в Великобритании, Германии, США и Нидерландах.

Другая кампания, ориентированная на граждан Мексики, маскировалась под настоящую медицинскую лабораторию Chopo. Фишинговый сайт был внешне идентичен настоящему.

Фишинговый сайт медицинской лаборатории Chopo Фишинговый сайт медицинской лаборатории Chopo

Жертвам предлагалось указать имя, возраст, адрес, пол, номер мобильного телефона и адрес электронной почты. После регистрации они должны были получить цифровой сертификат Национальной карты вакцинации, после чего им предлагалось дождаться активации карт. Через этот же сайт пользователи якобы могли записаться на вакцинацию, для подтверждения записи требовалось заплатить 2700 мексиканских песо (около 130 долларов США). На странице даже присутствовали фальшивые контакты: адреса электронной почты, страница в Facebook и номер WhatsApp для консультаций.

Ещё одна фишинговая кампания, обнаруженная в сентябре 2020 года, была связана с оборудованием для безопасной и надёжной транспортировки вакцин: мошенники рассылали письма, замаскированные под коммерческое предложение; вложение представляло собой HTML-файл с фишинговой страницей.

Фишинговое письмо с коммерческим предложением оборудования для транспортировки вакцинФишинговое письмо с коммерческим предложением оборудования для транспортировки вакцин

Это далеко не полный перечень всех вариантов фишинговых кампаний на тему вакцин и вакцинации, с которыми мы столкнулись в течение пандемии. Фантазия мошенников практически не знает границ. Они предлагают приобрести справки о вакцинации, место в очереди на вакцинацию и сами вакцины для индивидуального применения. Стоимость фальшивых справок о вакцинации в США составляет 20долларовСША, а за мелкий опт в четыре фальшивки предусмотрена скидка они обойдутся всего в 60долларовСША.

Некоторые мошенники проводят SMS-разведку, выдавая себя за фармацевтическую фирму. В сообщении говорится о том, что получатель имеет право на вакцинацию, но для этого требуется зарегистрироваться по контактному номеру. Тем, кто звонил по номеру, сообщалось, что запись на вакцинацию платная и предлагалось заплатить небольшую сумму.

Мошенничество

В 2020 году DomainTools начал предоставлять бесплатный курируемый список потенциально вредоносных доменов, связанных с COVID-19. Используя этот список доменов и данные Trend Micro Smart Protection Network, мы составили список из 75000доменов, которые могут использоваться для распространения вредоносных программ, фишинга и мошенничества.

В 2021 году мы наблюдали рост числа вредоносных доменов с ключевым словом вакцина. По данным отчёта DomainTools, этот всплеск начался уже в ноябре 2020года. При этом с июня 2020года количество доменов со словом covid сокращается. В ходе нашего анализа было выявлено около 1000вредоносных доменов с ключевым словом вакцина. Например, в ноябре 2020 г. было зарегистрировано 100 доменов, имитирующих названия торговые марки различных вакцин от коронавируса:

  • Gam-COVID-Vac

  • BioNTechs BNT162 vaccine (COVID-19 mRNA vaccine)

  • EPI - VAK - KORONA

  • PiCoVacc

  • Sputnik V

На такие домены устанавливают сайты-приманки, подобные, например, мошенническому сайту, замаскированному под сайт медицинского университета. На этом сайте посетителям предлагалось купить вакцины, оплатив их криптовалютой. Самое удивительное, что не было никаких гарантий подлинности вакцины или того, что покупатели в принципе получат что-то после оплаты.

Мошеннический сайт, торгующий вакцинойМошеннический сайт, торгующий вакциной

Анонимность даркнета сделала его идеальным местом для киберпреступников, которые торговали нелегальными вакцинами. В недавнем отчёте упоминается о сайте, операторы которого утверждали, что разработали вакцину, которая не только готова к покупке, но и доступна для отправки по всему миру.

На другом подобном сайте покупатели вакцины предварительно должны были отправить по электронной почте свои личные данные и даже сведения об инфицировании коронавирусом и других болезнях. Оплата также принималась в биткоинах.

Обсуждение вакцины от коронавируса на одном из сайтов ДаркнетаОбсуждение вакцины от коронавируса на одном из сайтов Даркнета

Новым трендом стало распространение афер с вакцинами через Facebook и Telegram. Один мошеннических Telegram-каналов имеет более 4тыс.подписчиков ипредлагает вакцины известных брендов.

Телеграм-канал, предлагающий купить любые вакцины с доставкой Телеграм-канал, предлагающий купить любые вакцины с доставкой

Доверчивых покупателей канал перенаправлял на мошеннический ресурс, замаскированный под сайт службы доставки Delta Express.

Рекомендации

Следствием продолжающегося кризиса в области здравоохранения в Европе и США является то, что люди ищут способы купить вакцину. Однако активные граждане должны соблюдать осторожность, поскольку этой тенденцией пользуются мошенники. Что ещё более важно? поддельные вакцины могут нанести вред здоровья в том случае, если мошенники на самом деле доставят хоть что-то после получения оплаты.

И хотя в российских реалиях не наблюдается ни многомесячных очередей на вакцинацию, ни дефицита вакцин, люди также могут стать жертвами мошенников, попытавшись, например, купить проверенную вакцину Pfizer вместо российского Спутника-V.

Вакцинно-коронавирусное мошенничество приняло такой размах, что необходимо проявлять бдительность в отношении информации, циркулирующей в сети. Вот некоторые советы по выявлению дезинформации:

  • получайте информацию о вакцинах из доверенных источников, в качестве которых могут выступать местные органы здравоохранения и медицинские учреждения;

  • подумайте, прежде чем нажимать на ссылку с заманчивым предложением, избегайте пересылки связанных с COVID-19 писем или обмена сообщениями, не проверив их с помощью авторитетных поисковых систем и новостных сайтов, это позволит сдержать распространение мошенничества и ложной информации;

  • выявляйте поддельные или вредоносные электронные письма и сайты признаками подделки могут быть опечатки, грамматические ошибки, неправильные названия и логотипы известных учреждений хотя этот способ работает не всегда, поскольку некоторые мошенники используют качественные копии легальных электронных писем, сайтов и платформ, используемых официальными организациями; лучше всего перепроверить информацию на официальных сайтах и в социальных сетях;

  • посещайте тренинги по кибербезопасности: повышение осведомлённости об интернет-мошенничестве и других видах дезинформации может помочь в выявлении этих схем.

В качестве средства для обнаружения дезинформации, мошенничества и подобных онлайн-угроз можно воспользоваться бесплатной многоплатформенной утилитой Trend Micro Check она базируется на искусственном интеллекте и обеспечивает обнаружение ссылок на мошенничество, проверку безопасности электронной почты, текстовых, визуальных и аудиоданных на предмет выявления дезинформации, а также проверку достоверности новостей в новостных выпусках. С момента запуска она уже выявила более 2млнслучаев мошенничества и 3млнслучаев дезинформации.

Источник: habr.com
К списку статей
Опубликовано: 28.04.2021 18:07:33
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Блог компании trend micro

Информационная безопасность

Исследования и прогнозы в it

Trend micro

Кибербезопасность

Вакцина covid-19

Мошеннический сайт

Фишинг

Спам-компании

Пандемия covid

Киберпреступность

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru