COVID-19爆发引发恶意电子邮件活动的机会浪潮

网络犯罪分子急于利用COVID-19大流行,最近几周,赛门铁克观察到数十种新的恶意电子邮件活动,试图利用公众对病毒的担忧。 

 

这些活动背后的威胁参与者采取了多种策略来逃避检测,例如使用各种电子邮件模板以及主题行,“发件人”地址,IP地址和URL域的大量随机分组。 

 

在分析3月以来的电子邮件活动时,第一波主要是网络钓鱼和恶意垃圾邮件(带有恶意软件的电子邮件)。但是,随着本月的到来,雪鞋垃圾邮件已成为最常见的活动形式,占被Symantec阻止的所有电子邮件的40%以上。其次是网络钓鱼(30%),垃圾邮件(18%)和欺诈(9%)。 

 

图1:2020年3月第1周和第2周的垃圾邮件时间表
图1:2020年3月第1周和第2周的垃圾邮件时间表

 

图2:2020年3月的第3周和第4周的垃圾邮件时间表
图2:2020年3月的第3周和第4周的垃圾邮件时间表

 

  • 垃圾邮件运动的主要特征
    • 主题行中的热门关键字:“ COVID-19”,“ corona”,“ coronavirus”和“ masks”
    • 顶级恶意软件类别:通用木马,Infostealer,后门,下载器
    • 观察到的主要负载:Autoit脚本,LokiBot,RAT / Stealer,AgentTesla,Maljava 
  • 雪鞋运动的主要特征
    • 主题行中的热门关键字:“ COVID”,“ Corona”,“ Coronavirus”和“ masks”
    • 观察到的顶级域名:“ covid”,“ corona”,“ coronavirus”和“武汉”。这些是最近注册的域,可以在垃圾邮件活动中使用
    • 观察到的滥用最严重的 gTLD是.biz,.cf,.info,.online,.xyz

 

相关模式

 

3月16日,赛门铁克阻止的恶意电子邮件数量激增,垃圾邮件激增的重点是销售口罩,医疗设备,免疫油以及其他与COVID-19病毒爆发有关的产品。

 

图3:2020年3月与COVID-19相关的被阻止电子邮件
图3:2020年3月与COVID-19相关的被阻止电子邮件

 

有趣的是,这种增加与欧洲和美国记录到的COVID-19感染数量的增加密切相关。

 

图4:反映全球每日新增COVID-19病例的图表
图4:反映全球每日新增COVID-19病例的图表

 

CDC网络钓鱼电子邮件

 

图5.仿冒电子邮件来自美国疾病控制与预防中心(CDC)
图5.仿冒电子邮件来自美国疾病控制与预防中心(CDC)

 

该电子邮件经过精心设计,可以显示为美国疾病控制与预防中心(CDC)的邮件。它解释说,疾控中心正在密切监视冠状病毒的爆发,并建立了事件管理系统来协调国内外的公共卫生应对措施。

 

然后敦促收件人单击一个链接,声称该链接指向其所在城市的新病例列表。虽然文本中使用的域似乎是“ cdcinfo.gov”,但是将光标悬停在链接上将显示该链接导致的真实恶意URL:

 

 

单击后,它会路由到:

 

 

在此垃圾邮件运行中,威胁行为者利用了受感染的域来构造网络钓鱼URL,并在URI路径中使用了一种特定的模式–“ /owa/owa.php?e= ”。网络钓鱼URL将打开一个凭据窃取网页。

 

图6:网络钓鱼URL导致凭证窃取网页
图6:网络钓鱼URL导致凭证窃取网页

 

网络钓鱼电子邮件伪装成资金提案

 

赛门铁克观察到的另一个网络钓鱼活动使用了很短的模板来伪装成合法的企业电子邮件。

 

图7.伪装为资金提议的网络钓鱼电子邮件
图7.伪装为资金提议的网络钓鱼电子邮件

 

该电子邮件敦促接收者审查冠状病毒的资助建议,并通过“访问查看文件”超链接到托管网络钓鱼内容的合法在线文档编辑器/查看器。电子邮件中给出的URL如下:

 

 

打开后,文档要求查看者输入其凭据。从2019年起,合法文件存储/共享服务和在线文档编辑器/查看器的使用迅速增加,威胁参与者利用这些服务,因为其中大多数都是免费的。

 

预付款欺诈欺诈

 

赛门铁克看到的一个以COVID-19为主题的诈骗活动的例子是一封伪装来自世界卫生组织(WHO)的电子邮件,它似乎是预付款欺诈的经典例子。

 

在这种情况下,该电子邮件声称世卫组织已批准向美国的50个人分配55万美元的资金,用于预防该疾病的爆发。为了接收资金,要求接收者通过电子邮件与代理商联系,以协商转移。在大多数情况下,如果受害者确实做出了回应,则骗子会试图诱骗他们支付一定费用,以“释放”资金。

 

图8.假装来自世界卫生组织(WHO)的欺诈电子邮件
图8.假装来自世界卫生组织(WHO)的欺诈电子邮件

 

以COVID-19为主题的勒索企图

 

另一个诈骗活动的特征是企图勒索。发件人声称自己是收件人的邻居,并说他们已经被诊断出患有COVID-19,并有望死亡。然后他们威胁要感染接收者的房屋,除非他们付钱给他们。提供了一个比特币钱包地址,供接收者支付勒索钱。

 

图9.与COVID-19相关的勒索诈骗的示例
图9.与COVID-19相关的勒索诈骗的示例

 

手术口罩垃圾邮件

 

冠状病毒的爆发也促使对口罩和其他防护服的需求激增。赛门铁克观察到的一项垃圾邮件活动声称来自中国的口罩供应商。发件人说,COVID-19在他们的国家/地区几乎不见了,他们现在可以开始向其他国家/地区销售。

 

图10.出售外科口罩的垃圾邮件
图10.出售外科口罩的垃圾邮件

 

提供奇迹“免疫油”

 

与爆发有关的最大的雪靴运动之一,提供了“免疫油”,可以保护人们免受病毒感染。

 

图11.提供COVID-19“免疫油”的雪鞋垃圾邮件
图11.提供COVID-19“免疫油”的雪鞋垃圾邮件

 

Snowshoe广告系列与其他垃圾邮件广告系列有些不同。Snowshoe分发者在电子邮件模板中使用各种原始IP地址,域和混淆,以避免被检测到。雪靴式垃圾邮件运行的独特特征之一是,它们在很短的时间间隔内就会涉及大量电子邮件。威胁参与者还使用标头字段中的大量随机化以避免检测。

 

在此示例中,发送者声称特定品牌的油可以帮助保护人们免受COVID-19感染。威胁参与者已在电子邮件中以图片形式提供的新闻文章对此声明提供了支持。嵌入此图像中的URL导致将垃圾邮件内容托管在云存储上-越来越多的垃圾邮件发送者正在这样做。

 

威胁参与者还在不同gTLD上注册了域,这对于在短时间内发送雪靴运行很有用。这些最近注册的域在标头字段和URL中都使用。在这些雪鞋运动中观察到的最容易滥用的gTLD是:.biz,.cf,.info,.online和.xyz。赛门铁克提供了针对URL和其他电子邮件功能的领先的预测性过滤系统,以检测和阻止快速变化的电子邮件威胁领域的变化。事实证明,该技术对于检测这些类型的攻击的变化也很有益。

 

伪造的WHO电子邮件传递恶意软件

 

世卫组织在最近的赛门铁克发现的垃圾邮件运动中也扮演了重要角色。电子邮件中提到对COVID-19的新研究已被证明是有效的,因此WHO决定共享一个.pdf文件,其中包含有关安全措施和预防接种的信息。

 

图12.带有恶意软件的电子邮件伪装成来自WHO的通信
图12.带有恶意软件的电子邮件伪装成来自WHO的通信

 

该电子邮件带有一个名为“ Covid19_UPDATE.rtf.zip”的附件,该压缩文件中包含一个链接(LNK文件),其扩展名为.rtf文件,该文件指向带有混淆数据作为参数的powershell.exe。解密后的内容一经解密,便会使用“ TinyURL”服务构造一个URL。

 

图13.恶意附件包含指向PowerShell的LNK文件
图13.恶意附件包含指向PowerShell的LNK文件

 

图14.使用PowerShell脚本进行URL混淆
图14.使用PowerShell脚本进行URL混淆

 

此URL将cookie下载到

 

  • C:\ Documents and Settings \ admin \ Application Data \ Microsoft \ Windows \ Cookies \ HPYWNBXU.txt
  • c:\ Documents and Settings \ admin \ Cookies \ HPYWNBXU.txt

 

图15.下载到受害者计算机上的cookie的内容
图15.下载到受害者计算机上的cookie的内容

 

此后,它尝试访问以下URL:

 

 

在执行时,可以期望这些文件下载用户计算机上的恶意内容。

防止COVID-19主题消息:

尽管始终需要保护您的组织免受恶意电子邮件的侵害,但是在恐惧和怀疑的时刻,这种需求变得更加明显。及时部署针对URL和其他电子邮件功能的预测性过滤系统,以捕获快速变化的电子邮件威胁形势中的变化。借助预测性过滤系统,可以将以电子邮件为媒介的威胁过滤或阻止,以免造成威胁。事实证明,这种方法对于检测这些类型的攻击的变化并根据数量或规模进行过滤是有益的。

缓解步骤

  • 请电子邮件用户彻底检查电子邮件,如果认为可疑,请向Symantec报告。
  • 对任何要求采取异常措施或不遵循正常程序的电子邮件进行质疑。
  • 使用分析技术来分析潜在威胁,这些技术可以发现干净和受感染的电子邮件之间的细微差别,并确定危害的指标。
  • 进行最终用户意识培训,以提高员工对网络钓鱼的总体意识。

防御机制

在赛门铁克,响应团队通过引入针对此类挑战性攻击的新防御机制,努力保护我们的客户。在.cloud和Symantec Mail网关级别的不同层中部署了一系列防御机制,以阻止类似的攻击。

  • 赛门铁克电子邮件安全云数据保护:提供细粒度控制,以基于各种指标来识别可疑邮件,并有助于标记来自组织外部的邮件。
  • 赛门铁克数据丢失防护:通过与我们的电子邮件安全解决方案无缝集成,帮助应对数据盗窃情况。
  • 赛门铁克的电子邮件威胁隔离(ETI):检查电子邮件和附件中是否存在网络钓鱼URL或托管在其上的恶意内容。该技术提供了额外的保护层,使用户可以安全地浏览未知或阴暗的网站,而不会受到恶意软件感染或凭据被盗的风险,从而降低了威胁的风险。Symantec Email Security中都提供了Symantec Email Threat Isolation。云解决方案,以及作为与其他供应商的电子邮件安全解决方案一起使用的独立产品。
0 0 vote
Article Rating

未经允许不得转载:x-sec » COVID-19爆发引发恶意电子邮件活动的机会浪潮

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x