[[391215]]

惡意軟件通過垃圾郵件傳播

從2020年第一季度開始，趨勢科技的研究人員就追蹤到了與新冠疫苗相關的一波攻擊。這些攻擊包括但不限于以下惡意軟件：Emotet，Fareit，Agent Tesla和Remcos。受影響用戶的國家包括美國，意大利和德國。

Emotet

在Emotet的 C&C服務器被撤銷之前，研究人員檢測到了一個垃圾郵件活動，該活動傳播了惡意軟件，并使用了與新冠疫苗有關的假消息作為誘餌。研究人員觀察到這種 Emotet垃圾郵件活動從1月初一直持續到同月24日。以下列出了一些電子郵件附件的示例文件名：

• Daily COVID reporting.doc
• DAILY COVID-19 Information.doc
• NQ29526013I_COVID-19_SARS-CoV-2.doc
• GJ-5679 Medical report Covid-19.doc

 

受Emotet影響的國家包括美國、意大利和加拿大，而受影響最大的行業是醫療保健、制造業、銀行業和運輸業。通過檢測Trojan.W97M.EMOTET.SMTH，研究人員能夠識別80多個文檔樣本。事實證明，文檔文件中也存在相似之處。以下是研究人員看到的一些電子郵件主題：

COVID-19 Vaccine Survey

RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now

Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020

這個Emotet攻擊活動使用了大約100個命令與控制(C&C)服務器，這些是可以追溯到33個國家/地區的IP地址。大多數地址來自美國、加拿大和法國。在大規模的垃圾郵件活動發生后的幾天，該特洛伊木馬竊取程序的某些感染無法再聯系其C&C服務器，此事可歸因于執法部門對上述惡意軟件服務器的控制。

Fareit

網絡罪犯發起了一場垃圾郵件活動，通過電子郵件傳播Fareit惡意軟件，用所謂的攻擊疫苗引誘目標。Fareit能夠在瀏覽器、電子郵件和FTP客戶端等應用程序中竊取個人信息，如證書。使用的郵件主題如下：

• Corona-virus(COVID-19),Common vaccine
• Corona-Virus Disease (COVID-19) Pandemic Vaccine Released
• Latest vaccine release for Corona-virus(COVID-19)

 

常見的附件文件如下：

• Corona-virus vaccine.arj
• COVID-19 VACCINE SAMPLES.arj
• COVID-19 Vaccine.arj
• vaccine release for Corona-virus(COVID-19)_pdf.rar

電子郵件的發送者冒充是來自世界衛生組織(WHO)，并使用了醫生的名字。受影響最大的國家是德國、美國、意大利、中國、西班牙和以色列。

用于傳播Fareit的垃圾郵件樣本

其他惡意軟件

除了Emotet和Fareit外，其他惡意軟件也用于傳播新冠疫苗相關攻擊。這包括特洛伊木馬竊取程序，比如Lokibot，Agent Tesla和Formbook。還使用了Remcos，Nanocore等遠程訪問木馬(RAT)和Anubis等Android惡意軟件。

據報道，2020年10月，勒索軟件變種通過偽造的新冠調查進行了傳播。網上誘騙郵件包含一份據稱針對加拿大一所大學的學生和教職員工的調查的附件，研究人員將其命名為Ransom.Win32.VAGGEN.A和Ransom.Win32.GOCRYPT.A。據報道，2020年11月，Zebocry假冒了生產新冠疫苗的制藥公司Sinopharm。攻擊者使用了一個虛擬硬盤(VHD)文件，該文件存儲了兩個文件：一個用于國藥演示幻燈片的PDF文件和一個以Microsoft Word文檔形式存在的可執行文件。研究人員將其檢測為Backdoor.Win32.ZEBROCY.AD，將域 support-cloud[.]life作為其C&C服務器。

后門Remcos是通過一個文件偽裝而成的，據報道該文件包含有關新冠疫苗的詳細信息。特斯拉特工(Agent Tesla)偽裝在討論新冠疫苗或治愈方法的文件中，以獲取樣品或測試結果。AgentTesla 原本是一款在 2014 年發布的簡單的鍵盤記錄器，近年來其開發團隊為其不斷增加了許多新功能，并進行出售。AgentTesla 現已成為一個商業化的間諜軟件，可通過控制端生成滿足功能需求的木馬程序。

AgentTesla 最常見的傳播方式是釣魚郵件，郵件附件中通常會攜帶惡意文檔，通過宏或漏洞利用下載運行惡意程序。

網絡釣魚和詐騙

最近，一場以英國國民健康服務(NHS)為名的網絡釣魚運動正在蔓延。電子郵件誘使用戶確認他們接受接種疫苗的邀請。無論點擊邀請的“接受”還是“忽略”按鈕，電子郵件都會重定向到登錄頁面。該頁面顯示了一個請求用戶全名、出生日期、地址和手機號碼的表單。研究人員已經在英國、德國、美國和荷蘭發現了這種活動。

偽造NHS郵件形式的網絡釣魚郵件

最近在墨西哥進行的另一次網絡釣魚活動中，攻擊者使用了一個偽裝成醫學實驗室“El Chopo”的網站，該網站看起來與合法實驗室相同。它要求提供詳細信息，例如姓名、年齡、地址、性別、手機號碼和電子郵件地址。用戶注冊后，他們將獲得國家疫苗接種卡的數字證書，并將被要求等待該卡的激活。據報道，通過該網站，用戶可以預約接種疫苗，在支付2700墨西哥比索(約合130美元)后，他們會收到一個偽造的確認信。該網站甚至提供了虛假聯系方式，例如電子郵件地址以及Facebook和WhatsApp頁面，以進行任何查詢。研究人員檢測了IP托管的網絡釣魚網站，例如vacunacion.elchopo[.]mx, dinero-vacunacion.elchopo[.]mx, xn--vacunacin-d7a.elchopo[.]mx 和infra-medica[.]com。

網絡釣魚頁面

偽造的頁面由Google緩存提供

2020年9月，研究人員觀察到了一次網絡釣魚活動，其主題是用于安全運輸疫苗的設備。它偽裝成聯合國兒童基金會對Gavi冷鏈設備優化平臺(CCEOP)的采購，并附上一份報價要求。附件是一個顯示網絡釣魚頁面的HTML文件。該活動有20個域，并使用了位于荷蘭的托管IP地址。趨勢科技攔截了網絡釣魚域，并且HTML文件被檢測為Trojan.HTML.PHISH.TIAOOHWY。

冒充新冠疫苗項目的網絡釣魚電子郵件示例

指向釣魚頁面的HTML附件

惡意行為者仍在發起幾起與疫苗相關的攻擊。其范圍包括疫苗接種卡的分發、疫苗的銷售、疫苗接種的預約等。DomainTools域名工具站已報告了非法的CDC疫苗接種記錄卡，據稱該記錄卡在美國僅用于個人的疫苗接種證明。一些詐騙者還在其攻擊活動中使用了短信。

惡意域名

2020年，DomainTools開始提供一份免費的、經策劃的高風險新冠相關域名列表，以在全球健康危機期間為社區提供支持。使用此域列表(大多數帶有關鍵字“covid”)和趨勢科技™智能防護網絡™的反饋，研究人員得出了75000個惡意域的列表。域的類別包括惡意軟件、網絡釣魚、欺詐和低信譽。

今年，研究人員發現帶有關鍵字“疫苗”的惡意域的創建呈上升趨勢。根據DomainTools的報告，從2020年11月開始，帶有“疫苗”一詞的域的創建激增。另一方面，自2020年6月以來，帶有“covid”一詞的域名數量有所減少。在研究人員的分析中，研究人員識別出大約1000個帶有關鍵詞“疫苗”的惡意域名。 2020年11月，針對攻擊疫苗的仿制制藥品牌注冊了100個域名，例如：

• Gam-COVID-Vac
• BioNTech’s BNT162 vaccine (COVID-19 mRNA vaccine)
• EPI - VAK - KORONA
• PiCoVacc
• Sputnik V

非法盈利

網絡罪犯還創建了使用疫苗作為誘餌的網站，2020年，vaccine-coronavirus[.]com投入使用。該網站在撰寫本文時仍處于無法讀取狀態，它之前被偽裝成一所醫學院的網站。據推測，用戶可以從該網站使用比特幣作為支付方式購買疫苗。

出售新冠疫苗照片的騙局

暗網提供的隱藏服務和匿名性使其成為攻擊者出售非法疫苗的理想場所。最近的一份報告談到了一個暗網，運營商聲稱該網站開發了一種疫苗，不僅可以購買，而且可以在全球范圍內運輸。

另一個暗網網站要求買家將個人信息，甚至他們的攻擊感染狀況和已知疾病發送到一個電子郵件地址。這些細節也必須以比特幣的形式提交。

與此同時，另一份報告討論了在地下論壇上以250美元出售所謂疫苗的情況。

暗網網站上的新冠疫苗騙局

最近疫苗騙局正在通過Facebook和Telegram傳播，這令人擔憂，因為與之相關的一個電報平臺已經擁有4000多名訂戶。特別值得一提的是，該渠道據稱可以提供知名品牌的疫苗。研究人員能夠識別詐騙網站，并注意到最接近的域名基于可用的描述是域名deltaexpressairline[.]com，使用Delta Express搜索更多的詐騙網站，發現了31個以上的域名。

Telegram平臺上的新冠疫苗騙局

本文翻譯自：https://www.trendmicro.com/en_us/research/21/c/injecting-deception-covid-19-vaccine-related-threats.html如若轉載，請注明原文地址。