Zscaler waarschuwt voor poging tot oplichting en malware rond het coronavirus

Amsterdam, 20 maart 2020 – Cybercriminelen maken altijd misbruik van crisissituaties en dat zien we op dit moment ook weer gebeuren, nu er behoefte is aan informatie rond COVID-19. Volgens de meest recente onderzoeksresultaten van Zscaler is de verspreiding van oplichterij rond het coronavirus toegenomen sinds de Wereldgezondheidsorganisatie de uitbraak als een pandemie heeft geclassificeerd. Nietsvermoedende gebruikers, die op zoek zijn naar informatie rond het virus, zijn op dit moment een gemakkelijke prooi voor cybercriminelen. omdat ze sneller in nepwebsites trappen of op malware-geïnfecteerde bijlagen klikken.

De beveiligingsonderzoekers van het ThreatLabZ-team dringen aan op voorzichtigheid met websites, veelbelovende links of bijlagen met betrekking tot coronavirus / COVID-19. Hieronder een analyse van enkele huidige oplichtingpraktijken die rond gaan:

Nieuw geregistreerde domeinen
Sinds het coronavirus / COVID-19 door de WHO tot noodsituatie voor de gezondheid is verklaard, is er veel verkeerde informatie verspreid over mogelijke genezing, vaccins en het gebruik van beschermende maskers. Cybercriminelen profiteren van de informatiebehoefte en registreren nieuwe domeinen over deze onderwerpen. De afgelopen twee weken zijn er, alleen al over de maskers, meer dan 200 nieuwe domeinen geregistreerd. Veel van deze domeinen staan ​​momenteel geparkeerd en zijn gereserveerd voor later gebruik. In de Zscaler-cloud zijn de afgelopen weken ongeveer 30.000 toegangspogingen geregistreerd bij nieuw geregistreerde domeinen met als onderwerp “Corona / COVID-19”.

Bovendien wordt de huidige discussie over het plaatsvinden of mogelijk annuleren van sportevenementen door cybercriminelen gebruikt om nietsvermoedende gebruikers naar nepwebsites te lokken. Aangezien talloze sportevenementen al zijn geannuleerd of uitgesteld, willen sportfans graag weten hoe het zit met de Olympische Zomerspelen. Er verschijnen dus ook websites die van deze nieuwsgierigheid profiteren. Een van deze nieuw geregistreerde domeinen is bijvoorbeeld coronalympics2020[.]com, die werd geregistreerd op 7 maart 2020. Enkele andere domeinen die worden gevonden in verband met de zomerspelen en het virus zijn CoronavirusOlympics[.]com, geregistreerd op 26 februari 2020, en CoronaOlympics[.]com, geregistreerd op 5 maart 2020.

Oplichterij met mobiele apps, testen en phishing
Tijdens het onderzoek werd door de ThreatLabZ-analisten een hele reeks websites gevonden die een wondermiddel of absurde behandelmethoden voor COVID-19 beloven en zo winst uit de situatie willen halen.

Omdat niet iedereen getest kan worden en de testen in sommige landen erg duur zijn, worden zogenaamde testkits aangeboden op frauduleuze oplichtingsites. Deze nep-aanbieders zijn al begonnen met het aannemen van pre-orders voor een ‘coronavirus-thuistest’. Het aanbod is echter frauduleus.

In andere malware-campagnes kwamen de onderzoekers gevallen tegen waarin cybercriminelen “Corona” of “Covid” gebruikten als sleutelwoorden voor hun phishing-URL’s. Zo was er ook een geval van een nep-startpagina van Outlook die angstige gebruikers target en doorstuurt naar een cdc.gov-URL. Deze URL staat bekend als een credential-farm en steelt alle ingevoerde gebruikersgegevens.

Malware-campagnes
‘Corona’ en ‘Covid’ worden bovendien gebruikt als zoekwoorden in bijlagen of bestandsnamen van malware-campagnes. Zo gebruikten malware-actoren bijvoorbeeld een besmette website met daarop de kaart over de corona-verspreiding van John Hopkins University, om zo geïnteresseerden te infecteren. Op deze manier werd bijvoorbeeld de AzoRult Infostealer gedistribueerd, een Trojaans paard dat informatie van een systeem verzamelt. In de Zscaler Cloud Sandbox werd ook een SpyGate backdoor-campagne ontdekt die werkt met de term covid.exe.

Meer technische informatie is te vinden in deze Engelstalige blogpost: https://www.zscaler.com/blogs/research/emergence-coronavirus-and-olympics-scams