کمیته رکن چهارم – مجرمان سایبری با بهره گیری از ترس عمومی ناشی از ویروس کرونا (COVID-19) با ادعای راه حل های درمان این بیماری سعی در توزیع بدافزار و آلوده کردن رایانه های کاربران زیادی در سراسر دنیا می کنند.
طبق گزارشات محققان امنیتی یک کمپین بدافزاری دیگر شناسایی و کشف شده که به کمپین بدافزار Emotet نسبت داده می شود.
در این کمپین مجرمان سایبری با ارسال نامه های الکترونیکی به ایمیل های اشخاص مختلف و ارائه بدافزار به آنها به ظاهر سعی در راهنمایی کردن آنها دارند و به این طریق از ترس های جهانی پیرامون مرگ و میر Coronavirus بهره برداری می کنند.
در حال حاظر ویروس کرونا در کشورهای مختلف آسیا، اروپا و آمریکای شمالی اشخاص زیادی را آلوده کرده است که برای اولین بار در ووهان چین شناسایی شد و به نام Coronavirus Novel 2019 (2019-nCoV) لقب گرفت. کمپانی های امنیتی که تهدیدات سایبری را نظارت می کنند، کمپین های ایمیل متعددی را شناسایی کرده اند که همه آنها از coronavirus به عنوان طعمه برای کاربران مختلف استفاده می کنند تا بتوانند پیام های آلوده را بر روی سیستم های قربانیان تزریق کنند.
نوع تهدید – اسپم ، بدافزار ، بات نت
بررسی اجمالی
موضوع ایمیل ها و همچنین نام پرونده های اسناد تقریبا مشابه هم هستند اما یکسان نیستند. محققان شرکت کسپرسکی فایل های مخربی را به عنوان اسناد مربوط به کرونا ویروس کشف کرده اند . این پرونده های مخرب کشف شده تحت پوشش فایل های pdf ، mp4 و Docx درباره coronavirus گنجانده شدند. نام پرونده ها نشانگر آن است که آنها حاوی دستورالعمل های ویدیویی در مورد چگونگی محافظت از خود در برابر ویروس، اطلاعات به روز در مورد تهدیدات آلوده شدن و حتی روش های تشخیص ویروس هستند که در واقع اینگونه نیست.
در حقیقت این پرونده ها حاوی طیف وسیعی از تهدیدات از سوی تروجان هایی هستند که قادر به از بین بردن، مسدود کردن، تغییر یا کپی کردن داده ها و همچنین تداخل در عملکرد رایانه ها یا شبکه های رایانه ای هستند.
“آنتون ایوانوف تحلیلگر بدافزار کسپرسکی گفت:” این ویروس کرونا (COVID-19) که به عنوان یک خبر مهم در مورد آن بحث می شود، قبلاً از آن به عنوان طعمه برای قربانیان استفاده می شده است. “
در اینجا انواع سناریو های مختلف را بررسی میکنیم : (کارشناسان امنیتی و مدیران شبکه حتما مطالعه کنند)
سناریو ۱: مکانیسم دفاعی فعال در زمینه فعالیتهای ایمیلی
مجرمان سایبری ایمیل های فیشینگ را با موضوع Coronavirus ایجاد می کنند یا در متن ایمیل قرار می دهند تا قربانیان را فریب داده و آنها روی لینکها کلیک و اقدام به دانلود فایل ها کنند.
سازمان ها باید سیاست های محکمی را به کار گیرند و تیم های امنیتی باید به دنبال کلمات کلیدی بر روی ایمیل های سازمان باشند و بدانند که کارمندان به سادگی فریب می خورند. بنابراین سازمانها باید در مواجه با ایمیل “Coronavirus” یا “۲۰۱۹-nCoV” یا پیوندهای مربوطه به آن محتاط باشند. به کارکنان خود آموزش دهید تا اهمیت ماجرا را درک کنند.
سناریو ۲: فرضیه تهدیدات دامنه های تازه ثبت شده
در حال حاضر برخی مجرمان سایبری از این پارامترها برای تحقق اهداف خود استفاده می کنند. طبق تحقیقات به عمل آمده یک کمپین کرونا ویروس کشف شده که با بهره برداری و استفاده از ترس عمومی Coronavirus حاکم بر جوامع سعی میکنند نرم افزارهای مخربی که قبلاً برای ماها شناخته شده است را در سیستم قربانیان خود تزریق کنند.
تعداد دامنه های تازه ثبت شده مربوط به coronavirus از زمان شیوع آن بسیار افزایش یافته است و مجرمان سایبری زیرساخت های زیادی برای پشتیبانی از فعالیت های مخرب مراجعه کنندگان به سایت های COVID-19 ایجاد کرده اند.
اقدامات لازمه
یک قانون برای نظارت بر ترافیک داخلی و خارجی شبکه های خود ایجاد کنید. این دامنه های تازه ثبت شده می توانند مشکل ساز باشند و از طرفی ما تمامی دامنه ها را در دسترس نداریم و ممکن است دامنه های بیشتری به مرور زمان اضافه شوند. شما باید به دنبال کلمات کلیدی در پرونده های Proxy / DNS / Firewall باشید و روی نام دامنه تمرکز کنید ، نه روی TLD و URL ها.
مثال:
www.corona-covid.com/coronavirus-update.html
The above parameters to understand:
“Corona-covid” is the domain name
“.com” is the TopLevelDoamin [TLD]
“/coronavirus-update.html” is the path [URL].
Altogether it’s a website.
Reference/IOCs:
https://tld-list.com/tlds-from-az
https://pastebin.com/Ye7VbiAT
https://pastebin.com/YFai7KHA
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-domains
https://www.performanta.com/resources/coronavirus-fears-exploited-by-newly-registered-domains/
Beware of Fake Weaponized Coronavirus Maps that Steal Your Login Credentials
https://gbhackers.com/malware-via-weaponized-coronavirus-lure-documents/
انتظار می رود با گسترش این نوع عفونت در آینده شاهد ترافیک ایمیل های مخرب بیشتر بر اساس کرونا ویروس باشیم.متأسفانه مجران سایبری با بهره برداری و سوءاستفاده از احساسات انسانی مانند ترس سعی در نفوذ و اعمال مجرمانه سایبری دارند که وظیفه متخصصان امنیتی ایجاب میکند با به روز رسانی اطلاعات خود و همچنین دنبال کردن آخرین تحولات سایبری بر علم و دانش خود برای محافظت از شبکه ها بیافزایند.
منبع: ایران سایبر
