Почти 65% фишинговых рассылок на тему пандемии коронавируса (COVID-19) содержали шпионское программы, около 4% — вирусы-шифровальщики, говорится в отчете международной компании, специализирующейся на предотвращении кибератак, Group-IB.
В период с 13 февраля по 1 апреля специалисты CERT-GIB проанализировали сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19. Письма были написаны от имени международных организаций (ВОЗ, ЮНИСЕФ), а также крупных российских и международных компаний. Рассылки были направлены как в коммерческий, так и в государственный секторы России и СНГ. Эти сообщения были перехвачены системой Threat Detection System (TDS).
"Перехваченные фишинговые письма содержали во вложении различные типы шпионского ПО. Самыми популярными оказались программы-шпионы — 65%, второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%. Что касается шпионского ПО, то наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%)", — говорится в документе.
Программы-шпионы способны собирать данные о системе и зараженном компьютере, загружать и запускать файлы, делать скриншоты, записывать нажатие клавиш на клавиатуре, а также могут похищать данные пользователей: логины, пароли из браузеров, почтовых клиентов, а также данные банковских карт.
"Несмотря на то, что процент фишинговых писем, паразитирующих на теме COVID-19, невысок и составил за исследуемый период порядка 5% во всем вредоносном трафике, злоумышленники на хакерских форумах стремятся использовать панические настроения, чтобы поднять свои продажи вредоносных программ", — отмечают эксперты.
Так, с февраля на андеграундном форуме продается замаскированное под интерактивную карту распространения COVID-19 ПО. Основным путем заражения является обычная фишинговая рассылка, способная обходить защиту Gmail. После заражения пользователю открывается карта с актуальными данными ВОЗ и Университета Джона Хопкинса, а параллельно загружается любая "полезная нагрузка", например, вредоносная программа для кражи данных. В целом, эксперты Group-IB зафиксировали более 500 объявлений на андеграундных площадках со скидками и промокодами на период пандемии на услуги DDoD, спам-рассылок и т.д.
В связи с тем, что многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, эксперты Group-IB прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети. "Поскольку домашняя сеть не защищена ИБ-отделом вашей компании, злоумышленники могут атаковать в первую очередь именно пользователей на "удаленке", чтобы добраться до инфраструктуры компании. В группе риска — сотрудники финансовых учреждений, телеком-операторов и IT-компаний, а целью кибератак станет не только кража денег или персональных данных, но и проникновение в корпоративную инфраструктуру через личный компьютер жертвы", — прокомментировал глава CERT-GIB Александр Калинин.
Источник: ПРАЙМ