Koronawirus jako pułapka

Zobaczcie, w jaki sposób strach przed koronawirusem jest wykorzystywany przez phisherów do atakowania firm i instalowania szkodliwych programów.

phishing

E-maile podszywające się pod korespondencję firmową, które zawierają szkodliwe załączniki, to nic nowego. Obserwujemy je w ruchu elektronicznym od co najmniej trzech lat. Im dokładniej przygotowane jest oszustwo, tym wyższe prawdopodobieństwo, że ofiara nie nabierze podejrzeń.

Taki phishing jest szczególnie niebezpieczny dla pracowników firm, które sprzedają towary, ponieważ e-maile dotyczące dostawy czy zamówienia są u nich na porządku dziennym. Nawet osoba, która zwykle łatwo dostrzega oszustwa, może mieć czasem problem w odróżnieniu wiadomości phishingowej od prawdziwego zamówienia od klienta. Dlatego liczba przekonujących, lecz fałszywych e-maili ciągle rośnie. Nie zdarzają się one tak często jak tradycyjny szkodliwy spam, ale to dlatego, że są one przygotowywane do określonego celu i trafiają na konkretne adresy.

Od kilku tygodni oszuści wykorzystują temat epidemii koronawirusa, aby zdobyć jeszcze większą wiarygodność. E-maile często wspominają o problemach z dostarczaniem przesyłek wynikających z epidemii, a klient zaczyna się zastanawiać, o jaką przesyłkę chodzi. W innych przypadkach atakujący używają tematu pandemii w celu wywierania presji: ich partnerzy rzekomo nie dostarczają przesyłek na czas. Bez względu na to, jakie problemy opisują oszuści, cel jest zawsze taki sam: nakłonienie ofiary do otwarcia szkodliwego załącznika. Zwykle stosują oni te same sztuczki: informują o konieczności sprawdzenia informacji o dostawie, danych związanych z płatnością, zamówieniem czy dostępnością produktu.

Poniżej podajemy kilka przykładów tego rodzaju phishingu oraz opisujemy, z czym wiąże się to zagrożenie.

Opóźniona dostawa

Opuści piszą, że z powodu wirusa Covid-19 dostawa się opóźni. Załączają rzekomo zaktualizowane informacje, jak również nowe instrukcje. Często pytają, czy nowy czas dostawy pasuje odbiorcy, nakłaniając go do otwarcia załączonego pliku, który na pierwszy rzut oka wygląda jak faktura w formacie PDF.

Jednak zamiast faktury znajduje się plik instalacyjny NSIS, który wykonuje szkodliwy skrypt. Następnie skrypt ten uruchamia proces cmd.exe i uruchamia za jego pośrednictwem szkodliwy kod. W ten sposób kod zostaje wykonany w kontekście legalnego procesu, omijając standardowe mechanizmy ochrony. Celem takiego działania jest szpiegowanie aktywności użytkownika. Nasze produkty do ochrony poczty e-mail wykrywają to zagrożenie jako Trojan-Spy.Win32.Noon.gen.

Pilne zamówienie

Oszuści twierdzą, że ze względu na epidemię koronawirusa ich chiński dostawca nie może wywiązać się ze swoich zobowiązań. W obecnych okolicznościach brzmi to przekonująco. Aby uniknąć rozczarowania swoich klientów, rzekomo chcą pilnie zamówić część towarów (niewymienionych w wiadomości) od firmy, w której pracuje odbiorca wiadomości. Która firma oprze się takiej nagłej okazji?

A tu niespodzianka: załączony plik nie zawiera żadnego zamówienia, lecz szkodnika Backdoor.MSIL.NanoBot.baxo. Po uruchomieniu wykonuje on szkodliwy kod w legalnym procesie RegAsm.exe (którego celem jest oczywiście obejście mechanizmów zabezpieczających). W efekcie atakujący zdobywają dostęp zdalny do komputera ofiary.

Inne pilne zamówienie

To jeden z wariantów powyższego oszustwa. Oszust wspomina, że fikcyjny dostawca z Chin ma problemy z dostawą, i przesyła zapytanie o ceny i czas dostawy towarów umieszczonych w załączonym pliku DOC.

Plik DOC zawiera exploita wykorzystującego lukę CVE-2017-11882 w aplikacji Microsoft Word (nasze rozwiązania wykrywają go jako Exploit.MSOffice.Generic). Po otwarciu pobiera i uruchamia szkodnika o nazwie Backdoor.MSIL.Androm.gen. Ma on ten sam cel co wszystkie backdoory: zdobycie dostępu zdalnego do zainfekowanego systemu.

Nie ma czasu do stracenia!

Ten schemat jest wymierzony w firmy, które mają problemy z ciągłością pracy ze względu na pandemię koronawirusa (to stosunkowo duża grupa i ciągle rośnie). Oszuści nakłaniają odbiorcę do działania, wyrażając nadzieję, że firma wznowi działanie po przymusowym postoju.

Zamiast zamówienia załącznik zawiera zagrożenie w postaci Trojan.Win32.Vebzenpak.ern. Po uruchomieniu wykonuje on szkodliwy kod w ramach legalnego procesu RegAsm.exe. Celem jest umożliwienie atakującym zdobycie dostępu zdalnego do zhakowanego komputera.

Jak zapewnić sobie ochronę przed szkodliwymi załącznikami poczty e-mail

Aby uniemożliwić cyberprzestępcom podrzucenie trojana czy backdoora w postaci załącznika, postępuj zgodnie z naszymi poradami:

  • Dokładnie sprawdzaj rozszerzenia załączonych plików. Jeśli jest to plik wykonywalny, najprawdopodobniej jest on szkodliwy.
  • Sprawdzaj, czy firma nadawcy naprawdę istnieje. Dziś nawet najmniejsze przedsiębiorstwa można znaleźć w internecie (na przykład konta w mediach społecznościowych). Jeśli nic nie znajdziesz, wstrzymaj się od reakcji; z taką firmą najprawdopodobniej nie warto robić interesów.
  • Sprawdź, czy informacje w polu nadawcy oraz podpis automatyczny pasują do siebie. Co ciekawe, oszuści często pomijają ten szczegół.
  • Pamiętaj, że cyberprzestępcy mogą pobrać informacje o ich „firmie” z ogólnodostępnych źródeł. A więc jeśli masz wątpliwości nawet wtedy, gdy e-mail zawiera wszystkie informacje, kontaktuj się z firmą w celu potwierdzenia, że faktycznie wysłała tę wiadomość.
  • Upewnij się, że Twoja firma używa niezawodnego rozwiązania zabezpieczającego, zarówno na stacjach roboczych, jak i na serwerze poczty. Dbaj o regularne aktualizowanie go i używanych baz danych. W przeciwnym razie trudno może być mu określić, czy załącznik e-mail jest szkodliwy, zwłaszcza jeśli chodzi o dokumenty pakietu Office.
Porady