Специализирующаяся на информационной безопасности компания Group-IB сообщила Daily Storm, что почти 65% фишинговых рассылок на тему пандемии COVID-19 содержали шпионское программы, около 4% — вирусы-шифровальщики. Рассылающие такие письма мошенники похищают пароли пользователей и данные банковских карт.
«Сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19, содержали во вложении различные типы шпионского ПО. Сами популярными оказались программы-шпионы — 65%, второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%. Что касается шпионского ПО, то наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%)», — заявили в Group-IB.
Специалисты компании уточнили, что «шпионские» программы могут собирать данные о системе и зараженном компьютере, делать скриншоты, загружать и запускать файлы, записывать нажатие клавиш на клавиатуре и похищать данные пользователей: логины, пароли из браузеров. Сами письма-фейки были на русском и английском языках от имени авторитетных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также крупных российских и международных компаний.
Рассылки направлялись как в коммерческий, так и в государственный секторы РФ и СНГ. В частности, 16 марта специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB) зафиксировали вредоносную рассылку якобы от лица сотрудницы ЮНИСЕФ. Получателю предлагали загрузить приложение, чтобы получать обновления о ситуации с COVID-19, а к письму прилагался архив, содержавший Netwire — троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.
Кроме того, 27 марта в CERT-GIB «поймали» две рассылки вируса-шифровальщика по российским нефтегазовым компаниям. В списке получателей — свыше 70 адресов. Письма, отправленные якобы от компании «Аптека.ру», содержали презентацию «лучших средств профилактики по доступной цене» под заголовком «Дарим «вакцину» от коронавируса!». Отправитель также предлагал продажу масок в любых количествах. При этом в письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora.
Преступники хакерских форумах стараются использовать панические настроения населения насчет COVID-19 для роста продаж вредоносных программ, отметили эксперты. Они прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети. Уточняется, что хакеры могут атаковать в первую очередь пользователей на удаленке, чтобы добраться до инфраструктуры их компании. В группе риска находятся сотрудники финансовых учреждений, телеком-операторов и IT-компаний.
В марте Group-IB сообщила об обнаружении более 9,5 тысячи фейков о заражении жителей столицы коронавирусом. По данным экспертов компании, информационная атака распространялась через ботов в соцсети «ВКонтакте» и разгонялась вбросами в группы в мессенджерах при детсадах и школах, а также в сообщества, рассчитанные на женскую аудиторию.
