Pro představu, jak velká tato změna opravdu byla, jsme se podívali na záznamy o nových certifikátech se jmény jako „corona“ nebo „covid-19“ za posledních šest měsíců. Pro srovnání s obdobím před tím, než se pandemie stala globální záležitostí, jsme se zaměřili na stejné období v loňském roce, tedy září 2018 až březen 2019.

 

Ještě do ledna většina certifikátů, obsahujících výraz „corona“, odkazovala na lokalitu, službu nebo legitimní název značky. Měsíčně šlo průměrně o 288 aktivovaných certifikátů. Odkazy na „covid“ neexistovaly v žádných registracích certifikátů, ke kterým jsme do roku 2020 našli záznamy – jedinou výjimku tvoří doména patřící patří firmě COVID, výrobci A/V příslušenství z Arizony, který vlastní příslušnou .com doménu.

Pandemie tuto rovnováhu vychýlila. Od ledna 2020 došlo k exponenciálnímu růstu nových certifikátů s těmito výrazy, když se jejich počet oproti normálu téměř zdvojnásobil na 558 v tomto měsíci, a hned následně v únoru opět téměř zdvojnásobil na 868. V prvních dvou třetinách března pak bylo vystaveno přes 6 086 nových certifikátů nesoucích názvy s výrazy „covid“ a „corona“, což je téměř 20krát více než v předchozím roce.

 

Více než 65 % z těchto domén bylo automaticky registrováno zdarma prostřednictvím Let’s Encrypt a dalších 5 % využilo jako certifikační autoritu Cloudflare (Cloudflare poskytuje bezplatné SSL pro stránky využívající jeho síť poskytování obsahu).

 

V žádném případě nejsou všechny tyto weby škodlivé, ale mnoho z nich je podezřelých. Zejména proto, že zahrnují velké množství stránek, které jsou hromadně konfigurovány s použitím šablon webových stránek, domén konfigurovaných prostřednictvím nízkonákladových registrátorů nebo subdomén konfigurovaných na potenciálně kompromitovaných doménách.

 

42 578 nově registrovaných domén s výrazy covid nebo corona

S jedním z hostů, který slouží jako zázemí pro mnoho webových adres spojených s výrazem „covid-19“ a je propojený se službou nabízející bezplatné webové stránky a nízkonákladové registrace doménových jmen, bylo asociováno 11 322 doménových jmen. U těchto domén se zdá, že byly vytvořeny a registrovány pro certifikáty automaticky, jelikož jsou jejich názvy vytvořeny podle stejného vzoru (covid-19[klíčové slovo pro vyhledávání].com).

 

Hrubý počet doménových jmen, u kterých pozorujeme, že byly registrovány v souvislosti s pandemií COVID-19, ještě větší. Dosavadního vrcholu bylo dosaženo 20. března, když lidé registrovali 3 011 nových domén obsahujících text „covid“ nebo „corona“ v rámci čtyř největších domén nejvyšší úrovně (TLD), které monitorujeme (.com, .us, .org a .info). Od 8. února jsme až do půlnoci 24. března zaznamenali 42 578 nově registrovaných doménových jmen s výrazy covid nebo corona.

 

Zatímco některé z těchto domén mohou být zaregistrovány pro neziskové nebo dokonce prospěšné účely, mnoho z nich je jednoduše zaparkováno, zatímco jiné zobrazují základní, většinou prázdnou, webovou stránku jako příslib budoucího obsahu. Spolupráce na Slack kanálech a s našimi partnery v Cyber Threat Alliance zahrnuje také třídění užitečných a legitimních stránek, které mohly být registrovány skutečnými zdravotnickými organizacemi, od těch s černým humorem až po spamovací nebo aktivně škodících webů. Je těžké zjistit úmysl držitele registrované domény, pokud na ní není žádný obsah, ale jako příklad podivných domén uveďme třeba coronavirusshaquilleoneal[.]com.

 

60+ aktivně škodlivých domén

Sophos identifikoval více než 60 domén jako aktivně škodlivých, ale některé z těchto domén, od doby, kdy jsme je poprvé detekovali, svoji činnost ukončily. Následující konkrétní webové stránky byly spojeny se stahováním malwaru a jsou potenciálními indikátory kompromitování, ale pokud jde o škodlivé domény, jedná se pravděpodobně jen o špičkou ledovce:

corona-masr21.com

netflixcovid19s.com

chasecovid19v.com

chasecovid19t.com

chasecovid19s.com

corona-masr2.com

chase7-covid.com

masry-corona51.com

corona-virusapps.com

coronavirus-realtime.com

covid-19-gov.claims

corona-virus-map.net

corona-map-data.com

coronavirus-apps.com

childcarecorona.com

impots-covid19.com

corona-apps.com

coronaviruscovid19-information.com

coronations.usa.cc

 

Malware zneužívá obavy z COVID-19 

Doposud jsme identifikovali několik rodin malwaru a potenciálně nežádoucích aplikací, které nějakým způsobem komunikují s doménami souvisejícími s COVID-19. Například tři různé verze malwaru DownloadGuide adware PUA a skupina škodlivých souborů používají web coronavirusstatus[.]doména pro hostování datového obsahu nebo jako C2 server.

Zahrnují:

  • AutoIT dropper skript, který jsme identifikovali jako Troj/AutoIt-CYW.
  • exe a isoburn.exe, ve kterých jsme identifikovali Troj/PWS-CJJ a Troj/Steal-JZ.
  • Corona-virus-Map.com.exe (který jsme identifikovali jako Troj/MSIL-NZP).
  • Soubor aut6C13.tmp (který jsme identifikovali jako malware Troj/PWS-CJJ).

 

Kromě komunikace s hostem se tato skupina malwaru připojuje k šifrovanému komunikačnímu API serveru služby Telegram.

Patrick Müller, Senior Channel Account Executive pro Českou republiku a Slovensko, Sophos