新冠疫苗相关的攻击
一季度开始,趋势科技的研究人员就追踪到了与新冠疫苗相关的一波攻击。这些攻击包括但不限于以下恶意软件:Emotet,Fareit,Agent Tesla和Remcos。受影响用户的国家包括美国,意大利和德国。 Emotet在Emotet的 C&C服务器被撤销之前,研究人员检测到了一个垃圾邮件活动,该活动传播了恶意软件,并使用了与新冠疫苗有关的假消息作为诱饵。研究人员观察到这种 Emotet垃圾邮件活动从1月初一直持续到同月24日。以下列出了一些电子邮件附件的示例文件名:
受Emotet影响的国家包括美国、意大利和加拿大,而受影响最大的行业是医疗保健、制造业、银行业和运输业。通过检测Trojan.W97M.EMOTET.SMTH,研究人员能够识别80多个文档样本。事实证明,文档文件中也存在相似之处。以下是研究人员看到的一些电子邮件主题: COVID-19 Vaccine Survey RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020 这个Emotet攻击活动使用了大约100个命令与控制(C&C)服务器,这些是可以追溯到33个国家/地区的IP地址。大多数地址来自美国、加拿大和法国。在大规模的垃圾邮件活动发生后的几天,该特洛伊木马窃取程序的某些感染无法再联系其C&C服务器,此事可归因于执法部门对上述恶意软件服务器的控制。 Fareit网络罪犯发起了一场垃圾邮件活动,通过电子邮件传播Fareit恶意软件,用所谓的攻击疫苗引诱目标。Fareit能够在浏览器、电子邮件和FTP客户端等应用程序中窃取个人信息,如证书。使用的邮件主题如下:
常见的附件文件如下:
电子邮件的发送者冒充是来自世界卫生组织(WHO),并使用了医生的名字。受影响最大的国家是德国、美国、意大利、中国、西班牙和以色列。motet和Fareit外,其他恶意软件也用于传播新冠疫苗相关攻击。这包括特洛伊木马窃取程序,比如Lokibot,Agent Tesla和Formbook。还使用了Remcos,Nanocore等远程访问木马(RAT)和Anubis等Android恶意软件。 据报道,2020年10月,勒索软件变种通过伪造的新冠调查进行了传播。网上诱骗邮件包含一份据称针对加拿大一所大学的学生和教职员工的调查的附件,研究人员将其命名为Ransom.Win32.VAGGEN.A和Ransom.Win32.GOCRYPT.A。据报道,2020年11月,Zebocry假冒了生产新冠疫苗的制药公司Sinopharm。攻击者使用了一个虚拟硬盘(VHD)文件,该文件存储了两个文件:一个用于国药演示幻灯片的PDF文件和一个以Microsoft Word文档形式存在的可执行文件。研究人员将其检测为Backdoor.Win32.ZEBROCY.AD,将域 support-cloud[.]life作为其C&C服务器。
后门Remcos是通过一个文件伪装而成的,据报道该文件包含有关新冠疫苗的详细信息。特斯拉特工(Agent Tesla)伪装在讨论新冠疫苗或治愈方法的文件中,以获取样品或测试结果。AgentTesla 原本是一款在 2014 年发布的简单的键盘记录器,近年来其开发团队为其不断增加了许多新功能,并进行出售。AgentTesla 现已成为一个商业化的间谍软件,可通过控制端生成满足功能需求的木马程序。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |