Aktualisiert: Coronavirus in bösartigen Kampagnen

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neue Kampagnen, die bösartige Domänen einsetzen und grundlegende Daten zur Verteilung der Bedrohungen.

Update 30. März

Bösartige Domänen nutzen COVID-19 als Köder für Online-Nutzer. Die Domänen sind zumeist Teil von Phishing-Kampagnen, wobei dann Malware auf die Systeme der Opfer abgelegt wird. Das Web Reputation Services-Team von Trend Micro stellte fest, dass die Anzahl solcher Domänen stetig steigt, und sie sich an die neuesten Nachrichten zum Virus anpassen.

So fanden die Forscher eine gefälschte Regierungs-Website, die die Nutzer mit dem Versprechen von Hilfe oder gar Heilung köderte. Das Bild zeigt die Domain uk-covid-19-relieve[.]com, die legitime „gov.uk“-Sites imitiert. Es werden persönliche Informationen abgefragt und Bankdaten der Benutzer, wenn diese eine korrekte Postleitzahl eingeben.

Bild 1. Gefälschte Regierungs-Websites in Großbritannien

Weitere Beispiele von solchen Info-Websites in Großbritannien enthält der Originalbeitrag.

Auch nutzen Kriminelle die Tatsache aus, dass überall viele Menschen derzeit zu Hause sind und damit mehr Zeit mit Online-Unterhaltung verbringen. Sie setzen gefälschte Streaming-Sites ein oder solche, die Unterhaltungsangebote beinhalten. So fanden die Forscher die Domäne hxxps://promo-covid19-neftlix[.]ml, in Wirklichkeit eine Phishing-Site, die auf den Diebstahl von Netflix-Zugangsinformationen aus ist. Wie stets sollten die Benutzer immer auf Websites achten, die sie regelmäßig nutzen, und die Zugangsdaten zu Online-Konten so privat wie möglich halten.

Des Weiteren ist hxxps://paypaluk-coronavirussupport.com eine gefälschte Website, die möglicherweise auf PayPal-Zugangsdaten britischer Nutzer zielt. Das URL-Format der Site enthält einen Hinweis darauf, dass die Domäne nicht PayPal gehört. Nutzer sollten stets diese Sites prüfen, indem sie sich die offizielle Site des Unternehmens ansehen und mit der fraglichen Domäne vergleichen.

Dem Aufbau der URL entsprechend wird dem Namen des Zielunternehmens eine nicht legitime PayPal-Domain angehängt, um überzeugender zu wirken. Dies ist dieselbe Technik, die auch für hxxps://promo-covid19-neftlix[.]ml verwendet wurde.

Die Daten aus dem Trend Micro Smart Protection Network zeigen die Vielfalt der Bedrohungen, die COVID-19 zur Manipulation der Ziele einsetzen. Die Grafik zeigt, dass Spam der am häufigsten genutzte Vektor ist

Bild 2. Verteilung der Bedrohungen, die auf COVID-19 beruhen

Die Daten aus dem Smart Protection Network vom 1. Januar 2020 bis zum 27. März 2020 zeigen auch, dass es mehr als 300.000 Bedrohungen für Email, URL und Dateien gibt. Bösartige URLs, die mehr als 22.000 Bedrohungen ausmachen, gehören zu Phishing-bezogenen URLs, Betrugsversuchen und solchen, die Malware (Adware, Ransomware u.a.m.) ablegen. In der folgenden Grafik sind die zehn Länder aufgeführt, die bösartige URLs mit „covid“ oder „ncov“ oder „coronavirus“ in der URL hosten. Diese URLs werden derzeit von Trend Micro blockiert.

Bild 3. Länder, in denen COVID-19-bezogene bösartige URLs im Umlauf sind

Bild 4. Arten der bösartigen URLs

Ein großer Teil dieser Bedrohungen steht im Zusammenhang mit Spam-Emails, wie die genannten Bedrohungsbeispiele zeigen. Die Grafik zeigt die Länder, die am stärksten von bösartigen Spam-E-Mails im Zusammenhang mit COVID-19 betroffen sind. Die Spam-Zahl entspricht den Spam-Mails mit dem Wort „Coronavirus“ im Betreff.

Bild 5. Die am stärksten von Spam-Mails bezüglich COVID-19 betroffenen Länder

Bei den entdeckten Dateien geht es um bösartige Dateien, die „COVID“ oder „COVID19“ im Dateinamen verwenden. Diese Dateien gehören zu verschiedenen Malware-Familien, zumeist Trojaner und nur einige Ransomware-bezogene Dateien. (Diese Daten spiegeln die Ergebnisse vom 1. bis 27. März 2020 wider. Sie werden aktualisiert, sobald die Daten für Januar und Februar verfügbar sind.)

Bild 6. Die Länder, wo die meisten bösartigen Dateien gefunden wurden

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen im März liefert der Blog.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.