在過(guò)去的六個(gè)月中，隨著新冠疫情的大流行，攻擊者也試圖將其作為誘餌來(lái)發(fā)動(dòng)攻擊。攻擊者非常喜歡利用社會(huì)熱點(diǎn)事件，他們總是嘗試在受害者發(fā)覺(jué)危險(xiǎn)以前就發(fā)動(dòng)攻擊，以各種誘人的理由通過(guò)社交工程誘使他們單擊帶有攻擊性的鏈接或打開(kāi)看似無(wú)害的附件。例如，由于大多數(shù)商店都在貨架上放滿了廁紙和洗手液之類的物品，并且現(xiàn)在可以在任何便利店購(gòu)買口罩，因此攻擊者仿冒電子郵件試圖讓那些尋找這些物品的買家上鉤。不過(guò)這些利用新冠疫情來(lái)進(jìn)行的社會(huì)工程攻擊現(xiàn)在變得非常無(wú)效，因?yàn)槭褂脦讉€(gè)月前相關(guān)但現(xiàn)在不相關(guān)的主題將不會(huì)有人再上鉤，并最終導(dǎo)致較低的投資回報(bào)。

?[[338500]]?

但是，這并不能阻止犯罪分子繼續(xù)嘗試使用這個(gè)主題來(lái)更新。除了以前報(bào)道過(guò)的許多與新冠疫情相關(guān)的攻擊示例外，以下是最新發(fā)現(xiàn)的一些示例。

類似于 419 scam的攻擊案例

彩票詐騙是預(yù)付款詐騙的一種，類似于 419 scam。它開(kāi)始于一封莫名其妙的郵件，電話或者掛號(hào)信，通知你“You have won!” 中大獎(jiǎng)了。這些收件人通常會(huì)被告知這需要保密“due to a mix-up in some of the names and numbers”，并被要求聯(lián)系所謂的代理人。而代理人就會(huì)告訴這些受騙者需要支付一筆費(fèi)用，否則將無(wú)法得到這筆獎(jiǎng)金，大多這類郵件都會(huì)使用合法彩票機(jī)構(gòu)或者合作單位的名義來(lái)進(jìn)行詐騙。以下就是最新的案例：

以下是一封釣魚(yú)郵件，主題為“新冠疫情基金救濟(jì)獎(jiǎng)”。

電子郵件示例

詐騙者會(huì)通知收件人，聲稱他們是“正在進(jìn)行的谷歌21周年紀(jì)念暨聯(lián)合國(guó)Covid-19基金賑災(zāi)獎(jiǎng)的第二批幸運(yùn)獲獎(jiǎng)?wù)?，該賑災(zāi)獎(jiǎng)由谷歌總部管理在美國(guó)加利福尼亞州舉辦?！?/p>

除了明顯的語(yǔ)法、格式和標(biāo)點(diǎn)錯(cuò)誤，以及事實(shí)上的不一致，這是一個(gè)危險(xiǎn)信號(hào)，事實(shí)上，這封電子郵件的內(nèi)容聲稱包含一個(gè)大公司的金錢(qián)獎(jiǎng)勵(lì)，這意味著這封電子郵件可以被忽略和刪除。這是因?yàn)闆](méi)有一個(gè)有信譽(yù)的公司或組織通過(guò)電子郵件提醒獲獎(jiǎng)?wù)哌@樣一個(gè)重要的獎(jiǎng)項(xiàng)。其他明顯的警告標(biāo)志包括無(wú)處獲得該金額的獎(jiǎng)勵(lì)，并且發(fā)證組織顯然甚至不了解基本信息，例如獲勝者的名字和姓氏。

如下所示，我們發(fā)現(xiàn)該電子郵件地址或類似的布局早在3月份發(fā)現(xiàn)的詐騙中就被多次(419次)發(fā)現(xiàn)。電子郵件中使用的WhatsApp電話號(hào)碼經(jīng)過(guò)解析為南非地區(qū)。

在第二個(gè)騙局中，一旦打開(kāi)名為UNITED NATIONS COVID-19.pdf的PDF文件后，騙局就開(kāi)始了。我們立即看到著名組織的商標(biāo)被濫用，包括聯(lián)合國(guó)標(biāo)志的商標(biāo)濫用，如果用戶仔細(xì)看，就會(huì)發(fā)現(xiàn)這封電子郵件是偽造的。

UNITED NATIONS COVID-19.pdf附件

比特幣攻擊示例

這個(gè)示例是另一項(xiàng)社會(huì)工程攻擊示例，這一嘗試看起來(lái)與各國(guó)提供的一些經(jīng)濟(jì)刺激方案相似。需要注意的是，除了常見(jiàn)的語(yǔ)法和格式問(wèn)題，這封郵件完全沒(méi)有任何細(xì)節(jié)，這是明顯的騙局跡象。不管怎樣，攻擊者還是希望受害者能上當(dāng)。

示例比特幣網(wǎng)絡(luò)釣魚(yú)電子郵件

如果用戶點(diǎn)擊其中的鏈接，將會(huì)被重定向到

hxxps://cryptocurrencypandemicclaims[.]uc[.]r[.]appspot[.]com/cryptocurrencyclaims[.]hxxx

并假裝為你提供你選擇的加密貨幣交換，讓受害者“選擇你的錢(qián)包”。已經(jīng)建立了比特幣錢(qián)包的受害者被要求“登錄”到他們的錢(qián)包來(lái)領(lǐng)取所謂的獎(jiǎng)金，從而使攻擊者有機(jī)會(huì)獲得憑證來(lái)訪問(wèn)受害者的比特幣錢(qián)包。

受害者必須選擇錢(qián)包才能繼續(xù)

點(diǎn)擊一個(gè)最大的比特幣交易平臺(tái)——coinbase，還可以被重定向到另一個(gè)釣魚(yú)頁(yè)面，偽造頁(yè)面的外觀設(shè)計(jì)和感覺(jué)與CoinBase頁(yè)面非常相似，除了有明顯錯(cuò)誤的URL：

[hxxps://cryptocurrencypandemicclaims[.]uc[.]r[.]appspot.com/home/coinbase/index[.]hxxx#]

具有Coinbase外觀的惡意登錄頁(yè)面

輸入電子郵件地址和密碼后，下面的表格會(huì)要求我們?cè)俅未_認(rèn)詳細(xì)信息：

將帳戶數(shù)據(jù)發(fā)送到遠(yuǎn)程URL的表單

輸入的數(shù)據(jù)被發(fā)送到一個(gè)遠(yuǎn)程位置，即一個(gè)已知的釣魚(yú)網(wǎng)站hxxp://pwwebtraffic[.]com。

表單正在提交給pwwebtraffic[.]com

該域截在6月之前一直處于活躍狀態(tài)，這表明有垃圾郵件大量運(yùn)行：

pwwebtraffic.com網(wǎng)站六個(gè)月的流量高峰

訪問(wèn)pwwebtraffic.com的國(guó)家

在訪問(wèn)這個(gè)領(lǐng)域方面，委內(nèi)瑞拉占總訪問(wèn)的98%，而澳大利亞、加拿大、新西蘭、德國(guó)、美國(guó)和智利占剩下的2%的大部分。

利用延遲付款導(dǎo)致NETWIRE網(wǎng)絡(luò)釣魚(yú)

示例電子郵件

我們最近看到的另一個(gè)借著新冠疫情來(lái)發(fā)起攻擊的示例是以付款延遲為由來(lái)發(fā)起攻擊的，因?yàn)樾鹿谝咔?，很多付款被延遲了，攻擊者就是利用這點(diǎn)來(lái)發(fā)起攻擊的。如果毫無(wú)戒心的受害者打開(kāi)附件“Payment_details.rar”，則生成的文件(用Delphi編寫(xiě))將解壓縮并調(diào)用以下Google DriveURL：

hxxps://drive[.]google[.]com/u/0/uc?id=1AiqquVw81WrAfMFGXfEbQ64Ipx0b-Igt&export=download

它托管有效載荷，同時(shí)也是一個(gè)十六進(jìn)制編碼的文件。

該文件還將與以下IP地址產(chǎn)生聯(lián)系：

172.217.18[.]14(Google Drive，Google Drive是谷歌公司推出的一項(xiàng)在線云存儲(chǔ)服務(wù)，通過(guò)這項(xiàng)服務(wù)，用戶可以獲得15GB的免費(fèi)存儲(chǔ)空間。)

46.38.151[.]236" (C2)

192.168.0[.]1 (Localhost)

最后將它們寫(xiě)入注冊(cè)表位置HKEY_CURRENT_USER\Software\NetWire。

它還將啟動(dòng)進(jìn)程TapiUnattend.exe，以通過(guò)端口3871連接到C2服務(wù)器okamoto[.]hopto[.]org (46.38.151[.]236)。這是一臺(tái)位于英國(guó)的服務(wù)器，其名稱空間分配給伊朗的一家公司。通過(guò)跟蹤分析，該dynDNS URL與Azorult，Nanocore和NJRAT等惡意軟件家族都有關(guān)聯(lián)。

對(duì)c2服務(wù)器okamoto[.]hopto[.]org的追蹤分析

排名前三的攻擊目標(biāo)地域是德國(guó)(40%)，美國(guó)(40%)和奧地利(20%)。

c2服務(wù)器okamoto[.]hopto[.]org產(chǎn)生的流量

總結(jié)

盡管使用新冠疫情作為話題的攻擊可能會(huì)隨著疫情的消退而減少，但我們?nèi)匀恍枰３志柚?，防止他們利用各種以假亂真的由頭來(lái)發(fā)起釣魚(yú)攻擊。