Cybercriminelen spelen in op COVID-19-steun, vaccins, en meer

  1. 10 mrt 2021
  2. 0 reacties

proofpoint

Terwijl het vaccinatieprogramma voor COVID-19 op gang begint te komen, blijven cybercriminelen de aanhoudende crisis gebruiken om angsten uit te buiten. Aanvallen met een coronagerelateerd thema zijn nog steeds aan de orde van de dag. Proofpoint heeft zelfs nog nooit eerder meegemaakt dat één bepaald thema zo vaak en zo lang het cyberlandschap heeft gedomineerd. Deze aanvalscampagnes overstijgen grenzen, talen en branches.
 
Hieronder staan vier voorbeelden die illustreren hoe cybercriminelen actief proberen in te spelen op de interesse van het publiek voor COVID-19-steun, vaccins en ander nieuws. Bij veel van deze aanvallen worden bekende merken nagebootst, zoals de Amerikaanse belastingdienst (IRS), de WHO en DHL. Het doel is vaak eenvoudig: slachtoffers proberen over te halen om ergens op te klikken. Op die manier kunnen de aanvallers vervolgens persoonlijke gegevens stelen, geld aftroggelen, inloggegevens verzamelen of schadelijke payloads uitvoeren voor toekomstige cyberaanvallen.

 

1.    Dridex-campagne imiteert IRS en belooft COVID-19-steun
Slechts een week geleden probeerden cybercriminelen zowel Amerikanen als Canadezen in de val te lokken met de belofte van COVID-19-cheques. In een campagne die uit duizenden e-mails bestond, deed de boevenbende zich voor als de IRS om ontvangers te verleiden ongemerkt Dridex te downloaden. Dit is een trojan die persoonlijke bankgegevens en inloggegevens steelt.
 
Vreemd genoeg weerhield het de bende er niet van dat het Amerikaanse COVID-19-steunpakket nog niet van kracht was en dat Canadezen er evenmin voor in aanmerking komen. De frauduleuze COVID-19-berichten waren gericht op de informatiebeveiligings- en technologiesectoren. Onderwerpregels varieerden van ‘Joe Biden Rescue Plan Act’ en ‘President's Rescue Plan Act’ tot ‘IRS Rescue Plan Form’. Bij elk bericht deed de afzender zich voor als het IRS American Rescue Plan Dept, met e-mailadressen zoals <us_irs@federa1.irs.c0m>, <rescue_plan@federa1.irs.c0m>, en <american_rescue@federa1.irs.c0m>.

 
Als een ontvanger op het ‘get apply form’ klikt, verschijnt er een excel-bestand met daarin een ‘enable content’-verzoek, wat een kwaadaardige macro is waarmee Dridex-malware wordt geïnstalleerd.

2.    WHO-spoofing richt zich op heersende angst voor coronavarianten
Eind februari zag Proofpoint ook een e-mailcampagne gericht op Amerikaanse luchtvaartorganisaties. De e-mails kwamen zogenaamd van de Wereldgezondheidsorganisatie (<awareness@whocoronavirus.com>) en het onderwerp was ‘New Deadly Variants of COVID 19’. In de e-mails was de identiteit van de WHO vervalst en werd een schadelijke bijlage toegevoegd met de titel ‘deadly variants of covid 19.doc’. Dat bestand maakt gebruik van de vergelijkingseditor om AsyncRAT te downloaden, een trojan voor toegang op afstand waarmee de aanvaller toegang krijgt tot het systeem van een slachtoffer.

 
3.    COVID-19-gerelateerde BEC-voorbeelden
BEC e-mailfraude en overgenomen e-mailaccounts kosten organisaties heel veel geld en Proofpoint verwacht dat cyberaanvallers dit soort aanvallen zullen blijven gebruiken zolang de pandemie aanhoudt. In het onderstaande voorbeeld vraagt een BEC-aanvaller de ontvanger, met een COVID-19-vaccinatieconferentie als reden, om dringend alle belastingformulieren van de hele organisatie op te sturen.

 
4.    COVID-19-vaccinatieafspraak
Begin februari zag Proofpoint ook een campagne die gericht was op organisaties in de farmaceutische sector. De e-mails beweerden afkomstig te zijn van ‘DHL Express’ met als onderwerpregel ‘Confirm Your Delivery Address: COVID-19 vaccine appointment’. Deze berichten bevatten een link naar een nagemaakte DHL-verificatiepagina, met als doel de inloggegevens van de gebruiker te stelen.
 
Cybercriminelen blijven het geld volgen. Bovendien blijven zij bekende merken spoofen en vertrouwen ze op social engineering om in hun opzet te slagen - en COVID-19 heeft het voor deze criminelen nog gemakkelijker gemaakt om in te spelen op menselijke emoties.
 
Meer over
Lees ook
WatchGuard: Remote Access Software steeds vaker misbruikt

WatchGuard: Remote Access Software steeds vaker misbruikt

Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1

De speciale exploitatiecyclus van TA422: week na week hetzelfde

De speciale exploitatiecyclus van TA422: week na week hetzelfde

Proofpoint onderzoekers zagen vanaf eind maart 2023 dat de Russische Advanced Persistent Threat (APT) TA422 gemakkelijk gepatchte kwetsbaarheden gebruikte om verschillende organisaties in Europe en Noord-Amerika aan te vallen. TA422 overlapt met de aliassen APT28, Forest Blizzard, Pawn Storm, Fancy Bear en Blue Delta. De Amerikaanse inlichtingsdie1

Onderzoek Orange Cyberdefense: aantal slachtoffers cyberafpersing neemt toe

Onderzoek Orange Cyberdefense: aantal slachtoffers cyberafpersing neemt toe

Het aantal slachtoffers van cyberafpersing is afgelopen jaar wereldwijd met 46 procent gestegen ten opzichte van 2022. Dat is een van de opvallende conclusies uit het rapport ‘Security Navigator 2024’ van cybersecurityspecialist Orange Cyberdefense. Volgens het rapport zijn grote ondernemingen het meest getroffen door deze vorm van cybercriminalit1