冠狀病毒 (Coronavirus) 一詞正隨著新型冠狀病毒 (COVID-19) 的疫情大爆發而出現在各類網路攻擊當中,包括:垃圾郵件、BEC 變臉詐騙 (Business Email Compromise)、惡意程式,以及惡意網域。隨著疫情不斷升溫,感染人數暴增,以該疫情為社交工程(social engineering )誘餌的網路攻擊也不斷增加。
甚至還發現了兩隻手機勒索病毒,趁火打劫 。
以冠狀病毒/武漢肺炎為名的電腦病毒,七例最新疫情
趨勢科技研究人員正在持續蒐集冠狀病毒相關網路攻擊的樣本。除此之外,本文七個案例,亦包含其他研究人員所發布的資料。
儘管有”盜亦有道”的勒索病毒說:「防疫期間,不會對醫療相關機構發動攻擊」,但並不是所有的駭客都有”共體時艱”的覺知, 在全球對抗武漢肺炎/新冠病毒(COVID-19)期間,陸續傳出捷克一家武漢肺炎檢疫單位遭病毒入侵,以及美國衛生暨公共服務部被駭客發動分散式阻斷攻擊。😷
1. 「危險,冠狀病毒患者接近中」,CovidLock手機勒索病毒,偽裝感染者靠近警示App
某個宣稱可警示附近是否有 COVID-19(新冠病毒/武漢肺炎)感染者的 Android 應用程式,會在手機植入一個名為「CovidLock」的行動勒索病毒。該病毒會將受害者的手機鎖住,威脅必須在 48 小時內以比特幣支付 100 美元來救回自己的手機,否則會將手機內的照片、 影片 、聯絡人和所有資料刪除,並聲稱會將所有社群網站帳號設定為公開,意味著你上傳在社群網站設定為私密或好友限定的影片或相片會公開曝光!
》免費下載試用
訂閱資安趨勢電子報:
2.冒牌系統優化工具, 夾帶CoronaVirus新冠勒索病毒與Kpot密碼大盜木馬
某個名為「CoronaVirus」的新勒索病毒變種,會利用偽造的 Wise Cleaner 網站散布,原正牌網站是一家專門提供系統優化工具的軟體公司。當不知情的受害者從這個冒牌網站下載一個名為「WSGSetup.exe」的檔案時,會再下載兩個惡意程式:CoronaVirus 勒索病毒與專門竊取密碼的 Kpot 木馬程式。此勒索病毒攻擊也搭上了勒索病毒的最新發展潮流,不僅會將資料加密,還會竊取資訊。
延伸閱讀:勒索病毒寄給你的情書!
3.變臉詐騙 (BEC) 發送抗疫期間變更付款方式通知信
專門研究 變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 的研究機構 Agari Cyber Intelligence Division (ACID) 披露了某個以冠狀病毒為誘餌的變臉詐騙攻擊。此攻擊是稍早某個變臉詐騙行動的延續,幕後的歹徒為 Ancient Tortoise 網路犯罪集團,該集團過去已犯下多起變臉詐騙案件。
歹徒首先會盯上負責應收帳款的人員,誘騙他們提供應收帳款報表。接著,他們再假冒成合法公司,利用報表上的客戶資訊發送電子郵件通知客戶因為 COVID-19 疫情的關係,需要變更其收款銀行和客戶付款方式。
4.勒索病毒攻擊捷克武漢肺炎篩檢中心
另一個應該也算因勒索病毒而起的攻擊,受害的是捷克的 University Hospital Brno,該大學是捷克的一個 COVID-19 檢測中心。此醫院的電腦系統因該起攻擊而遭到關閉,造成了 COVID-19 檢驗結果必須延後發布。
延伸閱讀: 捷克武漢肺炎篩檢中心遭駭客攻擊| iThome
5.互動式疫情監控地圖遭散布資訊竊盜程式
根據知名網路資安記者 Brian Krebs 指出,某個互動式冠狀病毒疫情監控地圖遭歹徒用來散布資訊竊盜程式。該地圖是由約翰·霍普金斯大學 (Johns Hopkins University) 所開發,是一個專門顯示冠狀病毒感染與死亡人數的互動式地圖。多名俄羅斯地下論壇成員假冒此地圖來販賣某個數位版冠狀病毒感染套件,專門散布以 Java 撰寫的惡意程式。歹徒會引誘受害者開啟甚至分享該地圖。
6.義大利出現6,000 多筆新冠病毒木馬郵件
由於義大利目前仍是冠狀病毒疫情最嚴重的國家之一,所以歹徒又再次掀起一波針對該國使用者的垃圾郵件攻擊。趨勢科技研究人員偵測到 6,000 多筆與這波垃圾郵件攻擊有關的活動。
垃圾郵件的主旨和內容都是以義大利文撰寫。主旨的大意是「冠狀病毒:重要預防資訊。」歹徒在郵件內容中宣稱該郵件隨附了一份由世界衛生組織 (WHO) 提供的文件,強烈建議收件人下載這份 Microsoft Word 檔案,不過檔案中暗藏了木馬程式。
7. 冠狀病毒解藥? 垃圾郵件含有竊資木馬 HawkEye Reborn
趨勢科技研究人員發現了一個以中國和義大利使用者為攻擊目標的垃圾郵件樣本,該郵件在主旨中提到冠狀病毒解藥,藉此引誘使用者下載惡意附件檔案。經過進一步的研究之後我們發現其附件檔案散布的惡意程式是 HawkEye Reborn,這是 HawkEye 鷹眼木馬程式家族當中一個專門竊取資料的變種。該檔案是一個經過重重加密的 AutoIT 腳本,並且組譯成執行檔。此腳本用來將惡意程式碼注入 RegSvcs.exe 當中。如果將被注入的程式碼取出來,將產生一個採用 ConfuserEx 封裝的 .NET 執行檔。解密後的 HawkEye 樣本組態設定當中含有接收其竊取資訊的電子郵件地址和郵件伺服器。
[延伸閱讀:垃圾郵件使用HawkEye Reborn 鍵盤側錄惡意程式攻擊企業 ]
入侵指標資料
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be | Trojan.W97M.POWLOAD.THBBHBO |
趨勢科技研究人員還發現了一些以義大利為攻擊目標的垃圾郵件樣本。這些樣本的郵件主旨當中並無疫情相關的字樣,而是包含在網址當中有”
recoverrryasitalycovid-19”字樣。不過,郵件的主旨含有「Fattura」一詞 (義大利文的「發票」)、發票號碼以及日期。這些郵件都夾帶了含有惡意程式的附件,這些惡意程式會執行
PowerShell 指令來從某個與 COVID-19 相關的網址下載一個檔案。此網址為:hxxps://recoverrryasitalycovid-19.xyz/over
經過進一步的調查,該惡意程式會使用 Evil Clippy (一個用來產生惡意 MS Office 文件的工具) 來暗藏巨集。
以下是趨勢科技的偵測資料:
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| 6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb | Trojan.X97M.POWLOAD.THCAOBO |
| 7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105 | Trojan.PS1.POWLOAD.JKP |
該文件包含以下誘騙使用者啟用巨集內容的訊息:
入侵指標資料
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| dd6cf8e8a31f67101f974151333be2f0d674e170edd624ef9b850e3ee8698fa2 | Trojan.W97M.JASCREX.BSUB |
如何防範這類威脅?
- 一般用戶:
建議使用可防止網路釣魚及勒索病毒的 PC-cillin 2020 雲端版:
趨勢科技推出PC-cillin 2020防毒軟體,新版更加著重在防範網路釣魚攻擊,以及線上交易可能遭側錄內容的情形 。
PC-cillin 2020 特別針對勒索病毒提供加強防護,創新的勒索剋星可以阻擋勒索病毒加密電腦的檔案,甚至您儲存在雲端同步資料夾和USB中的檔案
以下為趨勢科技 PC-cillin 攔截 以新冠肺炎(COVID19)為名的病毒畫面 :
針對台灣近日實施的口罩2.0 網路預購相關詐騙,提醒用戶若有接到自稱聯絡預購口罩事宜的電話,通通都是詐騙🈲
不肖歹徒趁著口罩2.0系統上路,透過電話混淆視聽,試圖騙取個資並且誘導受害人匯款💢
除了電話外,另外詐騙集團也會透過 簡訊、LINE傳訊息,聲稱網路預購設定錯誤,要到AIM操作解除,或是口罩2.0網路預購已成功,但須點擊某網址才能真正完成購買,待民眾點擊該網址即被盜取個資。📛
📌遇到可疑電話請不要上當,並撥打165反詐騙專線查證
📌 將唐鳳推薦的「防詐達人」LINE 帳號加為好友,將可疑訊息轉傳給它,機器人便會驗證是否為詐騙資訊
- 企業用戶:
趨勢科技的端點防護解決方案,如 Smart Protection Network™ 和 Worry-Free Business Security 皆可偵測並攔截上述惡意程式與其連上的惡意網域。
此外,還有趨勢科技 Email Security 可提供一層額外防禦來防範垃圾郵件與其他電子郵件攻擊。該產品所提供的防護會隨時更新以確保系統能夠防範各種新式、舊式的垃圾郵件、變臉詐騙與勒索病毒攻擊。而趨勢科技 InterScan™ Messaging Security 多則提供了完整的防護來攔截內送的威脅並保護外送的資料。它可攔截垃圾郵件與其他電子郵件威脅。
此外,我們也建議採用一套多層次防護系統來提供全方位的保護,避免使用者存取可能散布惡意程式的不肖網域。
延伸閱讀:
- 新型冠狀病毒「corona」(武漢肺炎)網路釣魚騙佈全球, 假購物延期遞送通知趁火打劫
- 【 武漢肺炎網路釣魚】 WHO呼籲:只有@who.int 才是來自世衛的信件,@who. com 、@who. org 都是山寨!
- 武漢肺炎疫情通知信,竟是駭客發的!(含歷年國際重大災難網釣事件)
- 趁武漢肺炎口罩之亂, 全聯遭冒用,詐騙集團成立多個假粉專騙個資
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
