
Kyberzločinci zneužívají pandemii Covid-19 a budují spamovací a phishingovou infrastrukturu
Kyberzločinci zneužívají pandemii Covid-19 a budují spamovací a phishingovou infrastrukturu
Pro představu, jak velká tato změna opravdu byla, jsme se podívali na záznamy o nových certifikátech se jmény jako „corona“ nebo „covid-19“ za posledních šest měsíců. Pro srovnání s obdobím před tím, než se pandemie stala globální záležitostí, jsme se zaměřili na stejné období v loňském roce, tedy září 2018 až březen 2019.
Ještě do ledna většina certifikátů, obsahujících výraz „corona“, odkazovala na lokalitu, službu nebo legitimní název značky. Měsíčně šlo průměrně o 288 aktivovaných certifikátů. Odkazy na „covid“ neexistovaly v žádných registracích certifikátů, ke kterým jsme do roku 2020 našli záznamy – jedinou výjimku tvoří doména patřící patří firmě COVID, výrobci A/V příslušenství z Arizony, který vlastní příslušnou .com doménu.
Pandemie tuto rovnováhu vychýlila. Od ledna 2020 došlo k exponenciálnímu růstu nových certifikátů s těmito výrazy, když se jejich počet oproti normálu téměř zdvojnásobil na 558 v tomto měsíci, a hned následně v únoru opět téměř zdvojnásobil na 868. V prvních dvou třetinách března pak bylo vystaveno přes 6 086 nových certifikátů nesoucích názvy s výrazy „covid“ a „corona“, což je téměř 20krát více než v předchozím roce.
Více než 65 % z těchto domén bylo automaticky registrováno zdarma prostřednictvím Let’s Encrypt a dalších 5 % využilo jako certifikační autoritu Cloudflare (Cloudflare poskytuje bezplatné SSL pro stránky využívající jeho síť poskytování obsahu).
V žádném případě nejsou všechny tyto weby škodlivé, ale mnoho z nich je podezřelých. Zejména proto, že zahrnují velké množství stránek, které jsou hromadně konfigurovány s použitím šablon webových stránek, domén konfigurovaných prostřednictvím nízkonákladových registrátorů nebo subdomén konfigurovaných na potenciálně kompromitovaných doménách.
42 578 nově registrovaných domén s výrazy covid nebo corona
S jedním z hostů, který slouží jako zázemí pro mnoho webových adres spojených s výrazem „covid-19“ a je propojený se službou nabízející bezplatné webové stránky a nízkonákladové registrace doménových jmen, bylo asociováno 11 322 doménových jmen. U těchto domén se zdá, že byly vytvořeny a registrovány pro certifikáty automaticky, jelikož jsou jejich názvy vytvořeny podle stejného vzoru (covid-19[klíčové slovo pro vyhledávání].com).
Hrubý počet doménových jmen, u kterých pozorujeme, že byly registrovány v souvislosti s pandemií COVID-19, ještě větší. Dosavadního vrcholu bylo dosaženo 20. března, když lidé registrovali 3 011 nových domén obsahujících text „covid“ nebo „corona“ v rámci čtyř největších domén nejvyšší úrovně (TLD), které monitorujeme (.com, .us, .org a .info). Od 8. února jsme až do půlnoci 24. března zaznamenali 42 578 nově registrovaných doménových jmen s výrazy covid nebo corona.
Zatímco některé z těchto domén mohou být zaregistrovány pro neziskové nebo dokonce prospěšné účely, mnoho z nich je jednoduše zaparkováno, zatímco jiné zobrazují základní, většinou prázdnou, webovou stránku jako příslib budoucího obsahu. Spolupráce na Slack kanálech a s našimi partnery v Cyber Threat Alliance zahrnuje také třídění užitečných a legitimních stránek, které mohly být registrovány skutečnými zdravotnickými organizacemi, od těch s černým humorem až po spamovací nebo aktivně škodících webů. Je těžké zjistit úmysl držitele registrované domény, pokud na ní není žádný obsah, ale jako příklad podivných domén uveďme třeba coronavirusshaquilleoneal[.]com.
60+ aktivně škodlivých domén
Sophos identifikoval více než 60 domén jako aktivně škodlivých, ale některé z těchto domén, od doby, kdy jsme je poprvé detekovali, svoji činnost ukončily. Následující konkrétní webové stránky byly spojeny se stahováním malwaru a jsou potenciálními indikátory kompromitování, ale pokud jde o škodlivé domény, jedná se pravděpodobně jen o špičkou ledovce:
corona-masr21.com
netflixcovid19s.com
chasecovid19v.com
chasecovid19t.com
chasecovid19s.com
corona-masr2.com
chase7-covid.com
masry-corona51.com
corona-virusapps.com
coronavirus-realtime.com
covid-19-gov.claims
corona-virus-map.net
corona-map-data.com
coronavirus-apps.com
childcarecorona.com
impots-covid19.com
corona-apps.com
coronaviruscovid19-information.com
coronations.usa.cc
Malware zneužívá obavy z COVID-19
Doposud jsme identifikovali několik rodin malwaru a potenciálně nežádoucích aplikací, které nějakým způsobem komunikují s doménami souvisejícími s COVID-19. Například tři různé verze malwaru DownloadGuide adware PUA a skupina škodlivých souborů používají web coronavirusstatus[.]doména pro hostování datového obsahu nebo jako C2 server.
Zahrnují:
- AutoIT dropper skript, který jsme identifikovali jako Troj/AutoIt-CYW.
- exe a isoburn.exe, ve kterých jsme identifikovali Troj/PWS-CJJ a Troj/Steal-JZ.
- Corona-virus-Map.com.exe (který jsme identifikovali jako Troj/MSIL-NZP).
- Soubor aut6C13.tmp (který jsme identifikovali jako malware Troj/PWS-CJJ).
Kromě komunikace s hostem se tato skupina malwaru připojuje k šifrovanému komunikačnímu API serveru služby Telegram.
Patrick Müller, Senior Channel Account Executive pro Českou republiku a Slovensko, Sophos
Reference
Kvalitu našich služeb a zkušenosti dokládá mnoho zajímavých referencí.










