SK-Cert-Varovanie

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred pokračujúcimi škodlivými aktivitami súvisiacimi s vírusom COVID-19

Ako sme informovali v predošlom varovaní dňa 27. februára 2020, útočníci sa neustále snažia zneužiť situáciu, kedy medzi ľuďmi vládne strach a neistota súvisiaca so šírením vírusu COVID-19. Ľudia sú v takýchto situáciách náchylnejší uveriť rôznym, aj nepravdivým správam o víruse a majú tak zníženú schopnosť rozpoznať škodlivý obsah.

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred pokračujúcimi škodlivými aktivitami v kybernetickom priestore, ktoré sa v čase vyvíjajú nasledovne:

Podozrivé online obchody

V rámci monitoringu bolo zistených niekoľko podozrivých online obchodov, ktoré ponúkajú nedostatkový tovar, ako napríklad rúška alebo iné ochranné prostriedky. Stránky sa tvária ako legitímne, ale chýbajú na nich akékoľvek obchodné údaje o prevádzkovateľovi. Tieto obchody zbierajú od používateľa osobné a citlivé údaje, ako sú napríklad meno, mailová adresa, adresa trvalého bydliska a telefón, pričom objednaný tovar nemusí byť nikdy doručený. Odporúčame si pred každým online nákupom overiť reputáciu predajcu a pri akomkoľvek podozrení nezadávať na stránke platobné ani iné citlivé údaje.

Škodlivé aplikácie a stránky s informáciami o šírení COVID-19

V posledných dňoch sa rozšírila forma útoku, ktorá sa zameriava na používateľov vyhľadávajúcich kartografické údaje o šírení ochorenia COVID-19. Útočníci sa snažia používateľa prinútiť stiahnuť si aplikáciu, ktorá nevyžaduje inštaláciu, pričom navonok zobrazuje živú mapu šírenia koronavírusu. Aplikácia využíva škodlivý kód, známy ako AZORult (známy už od roku 2016), ktorý zhromažďuje informácie uložené vo webových prehliadačoch, ako sú cookies, história prehliadania, prihlasovacie údaje, čísla kreditných kariet a iné citlivé údaje. Škodlivá webová stránka zneužíva grafiku, ktorú používa univerzita Johna Hopkinsa. Tá vytvorila online mapu, ktorá zobrazuje v reálnom čase šíriaci sa vírus COVID-19. Falošná stránka je však umiestnená na úplne inej doméne:

corona-map-fake

Je potrebné poznamenať, že vyššie spomínaná online mapa prípadov koronavírusu vytvorená univerzitou Johnsa Hopkinsa v americkom štáte Maryland nie je žiadnym spôsobom infikovaná a je bezpečné ju navštíviť na tomto odkaze. V súčasnosti sa ohrozenie týka iba počítačov so systémom Windows, ale očakáva sa, že útočníci budú naďalej zneužívať situáciu a pracovať na nových verziách, ktoré by mohli ovplyvniť aj iné systémy.

Viac ako 4000 domén súvisiacich s COVID-19

Od začiatku roka 2020 bolo zaznamenaných viac ako 4000 domén, ktoré priamo súvisia s koronavírusom. Až 3 percentá z týchto domén boli definované ako škodlivé, ďalších 5 percent ako podozrivé1. Medzi takéto domény patria:

  • coronavirusstatus[.]space
  • coronavirus-map[.]com
  • canalcero[.]digital
  • coronavirus[.]zone
  • coronavirus-realtime[.]com
  • coronavirus[.]app
  • coronavirusaware[.]xyz
  • coronavirusaware[.]xyz
  • corona-virus[.]healthcare
  • survivecoronavirus[.]org
  • vaccine-coronavirus[.]com
  • coronavirus[.]cc
  • coronavirusupdate[.]tk
  • bestcoronavirusprotect[.]tk

Pokračujúce phishingové kampane

Útočníci naďalej pokračujú so šírením phishingových mailov, ktoré zneužívajú situáciu šírenia vírusu COVID-19. Využívajú rôzne formy sociálneho inžinierstva, aby od obete vylákali citlivé údaje.

Maily so zdravotníckymi radami

Táto kampaň je založená na distribúcii mailov, ktoré obsahujú prílohu alebo odkaz na stiahnutie. Text mailu je veľmi jednoduchý a vyzýva príjemcu, aby stiahol prílohu alebo klikol na odkaz, na ktorom sa majú nachádzať informácie o bezpečnostných opatreniach zabraňujúcich  šíreniu vírusu COVID-19. V maile útočník odkazuje na čínskych odborníkov, ktorí mali tieto opatrenia vydať. Príloha a takisto aj odkaz obsahuje škodlivý kód.

V tejto skupine sa vyskytujú aj maily, ktoré ponúkajú funkčné vakcíny či liečivá, ktoré majú vírus vyliečiť. Nakoľko doposiaľ neexistuje účinný liek ani vakcína voči vírusu COVID-19, ide o snahu vylákať finančné prostriedky od obete.

Podnikové maily s inštrukciami

Rozšírená je aj kampaň, ktorá zneužíva dôveru ľudí k svojmu zamestnávateľovi. V maile je odkaz na nové pravidlá v súvislosti s prenosnými chorobami. Link odkazuje na škodlivú doménu a po kliknutí  používateľovi stiahne do zariadenia škodlivý softvér.

Maily od oficiálnych inštitúcií

Neustále pokračujú aj kampane, ktoré maskujú svoj pravý účel za oficiálne inštitúcie, akými sú WHO (World Health Organisation) alebo CDC (Centers for Disease Control and Prevention). Tieto  správy sú dizajnovou kópiou oficiálnych mailov takýchto organizácií a preto vyvolávajú v používateľoch dôveru, no takisto obsahujú škodlivé prílohy alebo odkazy na škodlivé stránky.

Zneužívanie solidarity

V posledných týždňoch bolo zaznamenané aj rozširovanie spamových mailov, v ktorých útočníci vyzývajú adresátov, aby finančne pomohli obetiam v oblastiach zasiahnutých vírusom COVID-19. Ako spôsob platby útočníci uvádzajú prevod v kryptomene. Argumentom útočníkov je, že peniaze sú určené na rozširovanie vakcíny proti vírusu, ktorá však doposiaľ neexistuje.

Odporúčané opatrenia

Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti so škodlivými aktivitami, ktoré zneužívajú šírenie vírusu COVID-19, vydáva nasledujúce odporúčania:

  • Vždy si overte odosielateľa mailu alebo inej správy (SMS, správy na sociálnych sieťach, prostredníctvom iných online služieb a podobne) – napríklad osobne alebo telefonicky. Ak mail prišiel od oficiálnej inštitúcie alebo autority, preverte si, či mailová adresa alebo osoba odosielateľa vôbec existuje a je oficiálnou adresou alebo osobou, ktorá inštitúciu zastupuje.
  • Zvýšte svoju pozornosť, ak správa, ktorú čítate, obsahuje gramatické chyby – môže ísť o automatizovaný preklad, ktorý útočníci často využívajú.
  • Neotvárajte správy od neoverených alebo úplne neznámych odosielateľov, ktoré obsahujú pochybný predmet správy.
  • Podozrivé prílohy alebo odkazy, ktoré sa v maile nachádzajú neotvárajte, ani  nesťahujte.
  • Vypnite si funkciu Náhľad prílohy v mailovom klientovi.
  • Nereagujte na správy,
  1. ktoré od vás pýtajú citlivé údaje – prihlasovacie, osobné, údaje o platobných kartách a podobne.
  2. ktoré vás vyzývajú k okamžitému konaniu – poskytnúť vaše osobné alebo iné citlivé údaje, kliknúť na odkaz, stiahnuť prílohu a podobne.
  3. ktoré ponúkajú zaručene funkčné vakcíny či liečivá – liečba a ani vakcína na vírus COVID-19 v tomto čase neexistuje.
  4. ktoré vyzývajú na darovanie finančných prostriedkov obetiam prostredníctvom kryptomien – oficiálne zbierky sú legitímne označené a nepoužívajú platbu v kryptomenách.
  • Na zisťovanie informácií o víruse COVID-19 používajte dôveryhodné zdroje – oficiálne inštitúcie, ako napríklad Ministerstvo zdravotníctva SR, Úrad verejného zdravotníctva, Svetovú zdravotnícku organizáciu, stránky legitímnych výskumných ústavov a podobne.
  • Nakupujte len z overených online obchodov. Národné centrum kybernetickej bezpečnosti SK-CERT vydalo odporúčanie pre nakupovanie na internete na tomto odkaze.

Zdroje:

[1] https://blog.checkpoint.com/2020/03/05/update-coronavirus-themed-domains-50-more-likely-to-be-malicious-than-other-domains/

https://www.recordedfuture.com/coronavirus-panic-exploit/

https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/

 

Posledná aktualizácia « Späť na aktuality