Posted in Informativno, Novosti, Preporuke, Smjernice

Hakeri koriste kampanje sa temom korona virusa + preporuke

 Published Date: March 19, 2020

Hakeri koriste kampanje sa temom korona virusa + preporuke

Hakeri aktivno koriste pandemiju korona virusa kako bi lansirali kampanje širenja malvera i varali korisnike. Istraživači iz Chekpoint-a su 5. marta objavili istraživanje koje iznosi činjenicu da je od početka januara registrovano preko 4 000 domena na temu korona virusa i bolesti koju izaziva COVID-19. Oni tvrde da je vjerovatno 50% ovih domena maliciozno. Checkpoint tvrdi da je u većini slučajeva riječ o phishing stranicama, dok su ostale maliciozne stranice namijenjene prevarama. Na stranicama namijenjenim prevarama akteri tvrde da prodaju zaštitne maske, lijekove, vakcine i testove za korona virus.

Hakeri su u Italiji pokrenuli i kampanju email poruka sa malicioznim prilozima. Poruke su na italijanskom jeziku, a prevod na srpski bi bio:

„Dragi gospodine/gospođo

Zbog velikog broja zaraženih korona virusom u vašoj regiji, Svjetska zdravstvena organizacija pripremila je dokument sa svim neophodnim mjerama protiv infekcije korona virusom.

Preporučujemo vam da pročitate dokument koji se nalazi i prilogu.

Želim vam sve najbolje.

Dr. Penelopi Marčeti

Svjetska zdravstvena organizacije – Italija“

Kao prilog je poslan maliciozni Word dokument sa ekstenzijom .doc, otvaranjem dokumenta prikazivana je slika koja je tvrdila da je dokument napravljen u ranijoj verziji Microsoft Office Word, te bi od korisnika zahtijevala da klike „Enable Editing“ i nakon toga „Enable Content“. Klik na „Enable Editing“ bi prebacivao Word iz moda za čitanje u mod za izmjene, dok bi klik na „Enable Content“ pokretao maliciozni Word makro koji bi instalirao malver pod nazivom Trickbot.

Ovo je samo posljednji u nizu sajber napada sa temom korona virusa. Hakeri su ranije phishing kampanjama napadali bolnice i testne centre. Pored toga preko malicioznih linkova i priloga email poruka širili su AZORult, Emotet, Nanocore RAT i TrickBot malvere, te su u par slučajeva instalirali ransomware.

Lista sajber napada koji su povezani sa korona virusom i COVID-19 uključuje:

  • Napade APT36 grupe, koja je povezana sa vladom Pakistana, na ministarstvo odbrane, ambasade i vladu Indije. Napad se odnosio na spear-phishing kampanju preko dokumenta koji je tvrdio da sadrži savjete o korona virusu, a instalirao je Crimson RAT malver. (malwarebytes.com).
  • Napade hakera povezanih sa vladom Sjeverne Koreje pomoću dokumenta koji je tvrdio da sadrži informacije o korona virusu u Sjevernoj Koreji, a instalirao je BabyShark malver. Istraživači iz Recorded Future otkrili su barem tri slučaja referenciranja na COVID-19 u napadima koje su izveli hakeri koji rade pod pokroviteljstvom države. (recordedfuture.com).
  • Spam kampanja sa temom korona virusa putem Word dokumenata koja je eksploatisala dvije godine staru ranjivost u Microsoft Office kako bi instalirala AZORult malver. (proofpoint.com).
  • Širenje AZORult malvera putem lažne mape korona virusa koju je postavio Univerzitet John Hopkins, prava mapa se nalazi na https://coronavirus.jhu.edu/. (thehackernews.com).
  • Maliciozna aplikacija za Android pod nazivom COVID19 Tracker. Ova aplikacija je tvrdila da prati broj oboljelih u blizini korisnika, umjesto toga instalirala je ransomware za Android pod nazivom CovidLock koji za otključavanje zahjeva otkupninu od 100 američkih dolara u bitcoin kriptovaluti. (domaintools.com).
  • Phishing napad sa temom korona virusa koji je krao kredencijale za Office365 putem lažne login stranice. (abnormalsecurity.com).
  • Spam kampanja koja je tvrdila da posjeduje informacije o korona virusu, a umjesto toga je preusmjeravala korisnike na sumnjivu stranicu za prodaju lijekova. (imperva.com).
  • Spam kampanja koja je koristila nestašicu zaštitnih maski kako bi prevarila korisnike. (f-secure.com).

Preporuke za izbjegavanje prevara, zaštitu i održavanje informacione higijene:

  • Izbjegavati otvaranje poruka, linkova i datoteka od nepoznatih pošiljaoca, ovo se odnosi kako na email poruke, tako i na socijalne mreže i servise za razmjenu poruka kao što su Viber, WhatsApp, Skype i sl.
  • Pratiti informacije samo na zvaničnim prezentacijama organa uprave i organizacija.
  • Subjekti trebaju posjedovati politiku udaljenog pristupa i korišćenja ličnih uređaja (Bring Your Own Device – BYOD). Ova politika treba da omogući bezbjedan pristup mreži subjekta tokom rada od kuće. Lični uređaji zaposlenih treba da budu na istom nivou zaštite kao i uređaji na mreži subjekta. Ukoliko ovo nije slučaj izvršiti segmentaciju mreže i grupisati korisnike u posebnu podmrežu sa ograničenim brojem servisa ili u DMZ (demilitarized zone).
  • Koristiti višefaktorsku autentifikaciju i jake lozinke za udaljeni pristup.
  • Pristupati poslovnoj mreži putem VPN-a.
  • Vršiti konstantno praćenje stanja mreže i servisa kojim udaljeni korisnici imaju pristup.
  • Izbjegavati korišćenje WiFi mreže bez upotrebe VPN-a.

Izvori: