Cybercriminelen spelen in op COVID-19-steun, vaccins, en meer

  1. 10 mrt 2021
  2. 0 reacties

proofpoint

Terwijl het vaccinatieprogramma voor COVID-19 op gang begint te komen, blijven cybercriminelen de aanhoudende crisis gebruiken om angsten uit te buiten. Aanvallen met een coronagerelateerd thema zijn nog steeds aan de orde van de dag. Proofpoint heeft zelfs nog nooit eerder meegemaakt dat één bepaald thema zo vaak en zo lang het cyberlandschap heeft gedomineerd. Deze aanvalscampagnes overstijgen grenzen, talen en branches.
 
Hieronder staan vier voorbeelden die illustreren hoe cybercriminelen actief proberen in te spelen op de interesse van het publiek voor COVID-19-steun, vaccins en ander nieuws. Bij veel van deze aanvallen worden bekende merken nagebootst, zoals de Amerikaanse belastingdienst (IRS), de WHO en DHL. Het doel is vaak eenvoudig: slachtoffers proberen over te halen om ergens op te klikken. Op die manier kunnen de aanvallers vervolgens persoonlijke gegevens stelen, geld aftroggelen, inloggegevens verzamelen of schadelijke payloads uitvoeren voor toekomstige cyberaanvallen.

 

1.    Dridex-campagne imiteert IRS en belooft COVID-19-steun
Slechts een week geleden probeerden cybercriminelen zowel Amerikanen als Canadezen in de val te lokken met de belofte van COVID-19-cheques. In een campagne die uit duizenden e-mails bestond, deed de boevenbende zich voor als de IRS om ontvangers te verleiden ongemerkt Dridex te downloaden. Dit is een trojan die persoonlijke bankgegevens en inloggegevens steelt.
 
Vreemd genoeg weerhield het de bende er niet van dat het Amerikaanse COVID-19-steunpakket nog niet van kracht was en dat Canadezen er evenmin voor in aanmerking komen. De frauduleuze COVID-19-berichten waren gericht op de informatiebeveiligings- en technologiesectoren. Onderwerpregels varieerden van ‘Joe Biden Rescue Plan Act’ en ‘President's Rescue Plan Act’ tot ‘IRS Rescue Plan Form’. Bij elk bericht deed de afzender zich voor als het IRS American Rescue Plan Dept, met e-mailadressen zoals <us_irs@federa1.irs.c0m>, <rescue_plan@federa1.irs.c0m>, en <american_rescue@federa1.irs.c0m>.

 
Als een ontvanger op het ‘get apply form’ klikt, verschijnt er een excel-bestand met daarin een ‘enable content’-verzoek, wat een kwaadaardige macro is waarmee Dridex-malware wordt geïnstalleerd.

2.    WHO-spoofing richt zich op heersende angst voor coronavarianten
Eind februari zag Proofpoint ook een e-mailcampagne gericht op Amerikaanse luchtvaartorganisaties. De e-mails kwamen zogenaamd van de Wereldgezondheidsorganisatie (<awareness@whocoronavirus.com>) en het onderwerp was ‘New Deadly Variants of COVID 19’. In de e-mails was de identiteit van de WHO vervalst en werd een schadelijke bijlage toegevoegd met de titel ‘deadly variants of covid 19.doc’. Dat bestand maakt gebruik van de vergelijkingseditor om AsyncRAT te downloaden, een trojan voor toegang op afstand waarmee de aanvaller toegang krijgt tot het systeem van een slachtoffer.

 
3.    COVID-19-gerelateerde BEC-voorbeelden
BEC e-mailfraude en overgenomen e-mailaccounts kosten organisaties heel veel geld en Proofpoint verwacht dat cyberaanvallers dit soort aanvallen zullen blijven gebruiken zolang de pandemie aanhoudt. In het onderstaande voorbeeld vraagt een BEC-aanvaller de ontvanger, met een COVID-19-vaccinatieconferentie als reden, om dringend alle belastingformulieren van de hele organisatie op te sturen.

 
4.    COVID-19-vaccinatieafspraak
Begin februari zag Proofpoint ook een campagne die gericht was op organisaties in de farmaceutische sector. De e-mails beweerden afkomstig te zijn van ‘DHL Express’ met als onderwerpregel ‘Confirm Your Delivery Address: COVID-19 vaccine appointment’. Deze berichten bevatten een link naar een nagemaakte DHL-verificatiepagina, met als doel de inloggegevens van de gebruiker te stelen.
 
Cybercriminelen blijven het geld volgen. Bovendien blijven zij bekende merken spoofen en vertrouwen ze op social engineering om in hun opzet te slagen - en COVID-19 heeft het voor deze criminelen nog gemakkelijker gemaakt om in te spelen op menselijke emoties.
 
Meer over
Lees ook
DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

De huidige innovatiekracht in Nederland en Europa op het gebied van cybersecurity blijft achter, ten opzichte van de Verenigde Staten en China. Dat blijkt uit het deze week verschenen boek ‘Security Innovation Stories’, geschreven door Bram de Bruijn in samenwerking met Frank van Summeren.