Home » Intro » Coronavirus-campagnes verspreid Emotet, Malware

Coronavirus-campagnes verspreid Emotet, Malware

Gepubliceerd op 3 februari 2020 om 14:00

Coronavirus-campagnes verspreid Emotet, Malware

De voortdurende wereldwijde verspreiding van de ziekte veroorzaakt malware-infecties.

Aangezien het coronavirus uit de provincie Wuhan in China nog steeds wijdverbreide angsten wekt over een mondiale volksgezondheidscrisis, zien sommigen een kans in de uitbraak.

Een recente golf van kwaadaardige, botnet-gestuurde e-mails gebruikt het coronavirus als thema, volgens telemetrie van IBM X-Force en Kaspersky.

In de campagne van IBM X-Force beweren de e-mails kennisgevingen te hebben bijgevoegd betreffende maatregelen ter preventie van infecties voor de ziekte. En nogal ironisch, wordt één virus gebruikt als een voorwendsel om een ​​ander te verspreiden - specifiek de beruchte trojan van Emotet.

De meeste e-mails zijn in het Japans geschreven, vertelden onderzoekers - wat suggereert dat de operatoren zich opzettelijk richten op geografische regio's die mogelijk meer getroffen worden door de uitbraak gezien hun locaties in Azië. Het onderwerp van de e-mails bevat de huidige datum en het Japanse woord voor 'kennisgeving' om het gevoel van urgentie te vergroten.

Coronaviruspatiënten

"De e-mails lijken te zijn verzonden door een dienstverlener voor gehandicaptenzorg in Japan," volgens een rapport van IBM X-Force, dat deze week is uitgegeven. "De tekst vermeldt kort dat er meldingen zijn geweest van coronaviruspatiënten in de prefectuur Gifu in Japan en dringt er bij de lezer op aan het bijgevoegde document te bekijken."

Andere versies hebben dezelfde taal, maar waarschuwt voor infectierapporten binnen verschillende Japanse prefecturen, waaronder Osaka en Tottori. De e-mails hebben ook een voettekst met een legitiem postadres, telefoonnummer en faxnummer voor de relevante volksgezondheidsinstantie voor de beoogde prefecturen, om een ​​sfeer van authenticiteit te verlenen.

"Eerder waren Japanse e-mails van Emotet gericht op betalingsmeldingen en facturen in huisstijl, volgens een vergelijkbare strategie als e-mails gericht op Europese slachtoffers," zei het bedrijf. "Deze nieuwe aanpak voor het leveren van Emotet kan aanzienlijk succesvoller zijn, vanwege de brede impact van het coronavirus en de angst voor infecties eromheen."

Afgezien van het gebruikte lokmiddel, is de campagne anders een redelijk standaard Emotet-inspanning, aldus de onderzoekers.

Inhoud in te schakelen

Wanneer het bijgevoegde document wordt geopend, verschijnt er een Office 365-bericht waarin de gebruiker wordt gevraagd om "inhoud in te schakelen" als het document in de beveiligde weergave is geopend, volgens de analyse van IBM X-Force. Zoals bij de meeste e-mailaanvallen van Emotet, wordt, als de bijlage wordt geopend met ingeschakelde macro's, een verborgen VBA-macroscript Powershell geopend en op de achtergrond een Emotet-downloader geïnstalleerd.

"De geëxtraheerde macro's gebruiken dezelfde verduisteringstechniek als andere Emotet-e-mails die de afgelopen weken zijn waargenomen," zeiden analisten van IBM X-Force.

Het is niet alleen Emotet die infecties wil zaaien vanwege de groeiende dreiging. Kaspersky heeft de afgelopen weken verschillende spamcampagnes zien ontstaan ​​die een reeks bijlagen met het coronavirus-thema bevatten.

Video-instructies

"De ontdekte kwaadaardige bestanden werden gemaskeerd onder het mom van .PDF, .MP4, .DOC bestanden over het coronavirus," zeiden onderzoekers in een analyse die donderdag werd vrijgegeven en gedeeld met Threatpost. "De namen van bestanden impliceren dat ze video-instructies bevatten over hoe je jezelf kunt beschermen tegen het virus, updates over de dreiging en zelfs virusdetectieprocedures, wat eigenlijk niet het geval is."

De bestanden bevatten een hele reeks bedreigingen, waaronder trojaanse paarden en wormen die "in staat zijn om gegevens te vernietigen, blokkeren, wijzigen of kopiëren en de werking van computers of netwerken kunnen verstoren", aldus het bedrijf. Tot nu toe zijn er 10 verschillende documenten in omloop geweest.

Waarschijnlijk binnenkort buiten Japan zullen uitbreiden

Met het aantal gevallen van coronavirus dat helaas de SARS-uitbraak van 2003 overtreft - 8.200 bevestigd vanaf dit moment - zal de ziekte waarschijnlijk nog lang aanhouden, aldus de onderzoekers. "Terwijl mensen zich zorgen blijven maken om hun gezondheid, zien we mogelijk steeds meer malware verborgen in nepdocumenten over de verspreiding van het coronavirus", schreef Anton Ivanov, malwareanalist van Kaspersky, in het rapport. IBM X-Force waarschuwde ook dat Emotet-operators hun targeting waarschijnlijk binnenkort buiten Japan zullen uitbreiden. "We verwachten in de toekomst meer kwaadaardig e-mailverkeer op basis van het coronavirus te zien, naarmate de infectie zich verspreidt," aldus de publicatie. “Dit zal waarschijnlijk ook andere talen omvatten, afhankelijk van de impact die de uitbraak van coronavirus heeft op de moedertaalsprekers. In deze eerste monsters werden Japanse slachtoffers waarschijnlijk het doelwit vanwege hun nabijheid tot China. Helaas is het vrij gebruikelijk dat bedreigingsactoren basale menselijke emoties zoals angst exploiteren - vooral als een wereldwijd evenement al voor terreur en paniek heeft gezorgd".

Cybercriminelen

Cybercriminelen die proberen te profiteren van actuele gebeurtenissen of tijdgeest is niets nieuws, zoals te zien is in de Wereldbekercampagnes die elke vier jaar opduiken. Emotet zelf verscheen onlangs in een tijdige spamcampagne in december waarin activist voor klimaatverandering en Time Person of the Year Greta Thunberg als lokmiddel werden gebruikt. De kopie in de e-mail bevatte een paar verschillende thema's, waaronder Thunberg's Time-nominatie, de kerstvakantie en algemeen milieubewustzijn en activisme.

Bron: threatpost


«   »