Bitdefender Labs observă o intensificare a activității infracționale și a fraudelor care exploatează războiul din Ucraina

Pe măsură ce războiul din Ucraina se intensifică, cercetătorii Bitdefender Labs înregistrează valuri de emailuri de natură frauduloasă și rău intenționate care exploatează criza umanitară și spiritul caritabil al destinatarilor din întreaga lume. Iată activitățile detectate până acum:

Campanii malspam care conțin Agent Tesla și Remcos

Începând cu 1 martie, Bitdefender Labs urmărește două campanii de phishing care încearcă să infecteze destinatarii cu doi dintre cei mai cunoscuți viruși trojan cu acces de la distanță (RAT): Agent Tesla și Remcos.

Campania 1:

Prima campanie de malspam pare să vizeze organizațiile din industria de producție printr-un atașament de tip .zip denumit „REQ Supplier Survey” (sondaj furnizor REQ). Atacatorii le solicită destinatarilor să completeze un sondaj despre planurile lor de rezervă ca răspuns la războiul din Ucraina.

Cercetătorii noștri care studiază amenințările spun că malwareul este descărcat și instalat printr-un link Discord direct pe dispozitivul victimei. Ceea ce este interesant, însă, este că interacțiunea cu fișierul periculos va descărca și o versiune nouă a Chrome pe dispozitivul utilizatorului, cel mai probabil în încercarea de a-l redirecționa pe acesta.

Agent Tesla este un bine-cunoscut RAT de tipul Malware-as-a-service (MaaS), care fură date și care a fost utilizat cu precădere în numeroase atacuri cibernetice prin email lansate în timpul crizei sanitare. Infractorii utilizează Agent Tesla pentru a extrage informații sensibile, inclusiv date de autentificare, ce anume tastează utilizatorii și date din clipboard de la țintele lor.

Conform analizei noastre, atacurile par să fie generate de adrese IP din Olanda (86%) și Ungaria (3%). Emailurile infectate ajung la destinatari din întreaga lume, inclusiv din Coreea de Sud (23%), Germania (10%), Marea Britanie (10%), SUA (8%), Republica Cehă (14%), Irlanda (5%), Ungaria (3%), Suedia (3%) și Australia (2%).

Clienții Bitdefender sunt deja protejați împotriva atacurilor cu Agent Tesla. Fișierul REQ Supplier Survey.zip, detectat ca Gen:NN.ZemsilCO.34232.cm0@aKLKBXo, este detectat și blocat de soluțiile noastre dedicate utilizatorilor individuali și companiilor.

Campania 2:

Pe 2 martie, cercetătorii noștri au depistat o altă campanie malspam, în care atacatorii se dau drept o companie de îngrijire medicală din Coreea de Sud, specializată în sisteme de analiză și diagnostic in-vitro pentru a instala virusul RAT Remcos printr-un atașament Excel (SUCT220002.xlsx).

Mesajul vorbește despre conflictul în desfășurare din Ucraina și-l roagă pe destinatar să-și amâne una dintre comenzi până la reluarea transporturilor și zborurilor. Atacatorii cibernetici instalează viruși RAT Remcos prin documente sau arhive infectate pentru a obține controlul total asupra sistemelor victimelor lor. Odată intrați, ei colectează informații despre ce tastează utilizatorii, capturi de ecran, date de autentificare sau alte informații de sistem sensibile, pe care le extrag direct pe serverele lor.

89% dintre emailurile cu viruși par să provină de la adrese IP din Germania și 19% din SUA. Atacatorii vizează destinatari din Irlanda (32%), India (17%), SUA (7%), Marea Britanie (4%), Germania (4%), Vietnam (4%), Rusia (2%), Africa de Sud (2%) și Australia (2%).

„Deși atacurile cibernetice recente nu au vizat în mod special infrastructura sau populația civilă ucraineană, tensiunea globală generată de războiul în desfășurare se va materializa, cel mai probabil, în atacuri mai targetate, care ar putea descuraja serviciile de intervenție de urgență și eforturile de ajutor umanitar din această țară”, a declarat Alexandru Maximciuc, cercetător în domeniul amenințărilor, Bitdefender Labs.

„Am văzut atacuri DDoS și malware wiper în masă lansate asupra instituțiilor financiare și organizațiilor din Ucraina. Având în vedere sancțiunile economice extinse impuse de statele occidentale ca răspuns la invazia Rusiei, nu trebuie să ignorăm posibilele agresiuni digitale menite să perturbe infrastructurile de importanță critică, în contextul actual al amenințărilor.”

Soluțiile Bitdefender pentru utilizatori individuali și companii detectează atașamentul periculos SUCT220002.xlsx și recunoaște RAT Remcos ca Exploit.CVE-2017-11882.Gen.

Fraudele de caritate în criptomonedă se intensifică

Pe 25 februarie, Bitdefender Antispam Lab a raportat primele indicii privind un grup de infractori care exploatează invadarea Ucrainei de către Rusia și știrile despre cetățenii ucraineni care fug din țară. Așa cum ne așteptam, infractorii continuă să se folosească de criza umanitară actuală pentru a obține câștiguri personale prin fraude.

În doar câteva ore de la lansarea invaziei, guvernul ucrainean a anunțat că acceptă donații în criptomonedele BTC și ETH, iar răspunsul comunității globale nu a întârziat să apară. Conform celei mai recente analize privind tranzacțiile prin blockchain, aplicația de portofel electronic ETH a înregistrat peste 18.524 de tranzacții cu o valoare totală de peste 9,7 milioane de dolari, în vreme ce portofelul electronic BTC a înregistrat peste 9.300 de tranzacții cu o valoare totală de 9,4 milioane de dolari.

Nu e nicio îndoială că, în timp ce oamenii, organizațiile și guvernele își aleg taberele, infractorii cibernetici își intensifică eforturile pentru a redirecționa ajutorul financiar către propriile buzunare.

„Evenimentele și crizele globale majore sunt factori cunoscuți care declanșează campanii spam periculoase, ce exploatează emoția umană și dorința oamenilor de a ajuta”, a declarat Adrian Miron, Antispam Research Manager, Bitdefender

„Până acum, am observat că atacatorii au reacționat rapid la anunțurile legitime ale Ucrainei și ale altor organizații imitând formatul mesajelor lor. Ne așteptăm la o varietate de campanii de phishing și malware, precum și la creșterea constantă a volumului de mesaje trimise zilnic, și ca atacatorii să-și adapteze metodele de convingere în funcție de acestea”.

Bitdefender Labs monitorizează activ e-mailurile de donații frauduloase, care ademenesc destinatarii să doneze bani. Infractorii se dau drept guvernul ucrainean, agenția internațională în scop umanitar Act for Peace, UNICEF și alte proiecte de donații precum Ukraine Crisis Relief Fund pentru a-și transmite apelul la asistență financiară cu scopul de a ajuta armata ucraineană și milioanele de civili și copii prinși în conflictul militar.

Subiectele sunt următoarele:

· Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT. (Fiți alături de oamenii din Ucraina. Acum acceptăm donații în criptomonedă. Bitcoin, Ethereum și USDT.)

· HELP UKRAINE stop the war! (AJUTAȚI UCRAINA să pună capăt războiului!)

· Ukraine Humanitarian Donation (Donații umanitare pentru Ucraina)

· Donate to Ukraine, Help save a life: Please read (Donați pentru Ucraina, contribuiți la salvarea unei vieți: citiți acest mesaj)

· Urgent! Help Children in Ukraine (Urgent: Ajutați copiii din Ucraina)

· Subject: Help Ukraine (Subiect: Ajutați Ucraina)

Autorii mesajelor profită de emoțiile utilizatorilor și descriu impactul asupra comunităților din Ucraina și numărul în creștere de refugiați care părăsesc țara și care au nevoie urgentă de alimente și un adăpost.

Fraudele de caritate prin email au atins un apogeu pe 2 martie, conform Bitdefender Antispam Lab.

Pe 2 martie, o campanie, în mod special, care avea ca subiect „Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT” (Fiți alături de oamenii din Ucraina. Acum acceptăm donații în criptomonedă. Bitcoin, Ethereum și USDT) și care avea ca sursă adrese IP din China a ajuns în zeci de mii de inbox-uri. 25% dintre e-mailuri au vizat utilizatori din Marea Britanie, 14% din SUA, 10% din Coreea de Sud, 8% din Japonia, 7% din Germania, 4% din România și un procent identic de 2% pe cei din Grecia, Finlanda și Italia.

Mai jos puteți vedea mai multe exemple de fraude de caritate prin criptomonedă:

Schemele prin e-mail în stilul Prințul Nigerian

Filtrele de spam ale Bitdefender au mai detectat și o variație a fraudei Prințul Nigerian adaptată crizei din Ucraina. Emailul, aparent trimis de un om de afaceri cunoscut din Ucraina, îți solicită ajutorul pentru a transfera 10 milioane de dolari până când persoana respectivă își găsește o nouă locație sigură.

Infractorii din spatele acestei fraude trimit emailuri de la adrese IP din Botswana (83%), Germania (10%) și Franța 5%. Ținta lor principală sunt utilizatori din Germania (42%), Turcia (16%), SUA (16%), Irlanda (8%) și Polonia (3%).

Din nefericire, utilizatorii care răspund la acest email intră în contact cu hackerul care le solicită informații personale cu scopul de a-l ajuta să transfere banii în afara țării. Deși emailul nu le promite destinatarilor recompense financiare în schimbul ajutorului, escrocii vor specifica o anumită sumă drept remunerație pentru ajutorul oferit la finalizarea transferului. Cel mai adesea, infractorul îi va solicita destinatarului să plătească taxe de administrare, asociate adesea transferului de sume mari. După ce a înșelat victima, infractorul va dispărea cu banii sau, mai rău de atât, va goli contul bancar al acesteia.

Exemplu 7

Atenția acordată de Bitdefender securității cibernetice

Faptul că infractorii cibernetici și cei care săvârșesc fraude online se folosesc de criza din Ucraina pentru a fura bani de la utilizatori și a răspândi malware nu este o surpriză pentru experții în securitate cibernetică. Deși războiul din Ucraina se desfășoară la mii de kilometri distanță de mulți dintre noi, suferința oamenilor declanșează un răspuns emoțional puternic în rândul utilizatorilor din întreaga lume care doresc să dea o mână de ajutor refugiaților ce părăsesc țara europeană lovită de război.

Le recomandăm tuturor utilizatorilor de internet ca în aceste vremuri tulburi să fie și mai vigilenți și să aplice metode de protecție bune pentru a se asigura că resursele lor obținute prin muncă nu ajung pe mâinile infractorilor:

· Nu da niciodată clic pe linkuri sau atașamente din emailuri sau mesaje care te roagă să donezi urgent

· Donează exclusiv prin organizații de caritate, non-profit și de colectare de fonduri oficiale și de încredere

· Verifică-ți conturile financiare cu regularitate pentru orice activitate suspectă sau plăți neautorizate

· Stabilește parole unice pentru toate conturile tale online

Pentru mai multe sfaturi, consultă ghidul nostru dedicat securității cibernetice în zonele de conflict armat.

Ca răspuns la criza militară și la activitatea sporită a infractorilor cibernetici, Bitdefender și Directoratul Național de Securitate Cibernetică (DNSC) din România le oferă cetățenilor, companiilor sau instituțiilor ucrainene protecție cibernetică gratuită atât timp cât acest lucru este necesar.

De asemenea, utilizatorii din întreaga lume își pot îmbunătăți reziliența cibernetică și se pot apăra împotriva fraudelor și amenințărilor online cu ajutorul soluției noastre Bitdefender Total Security, oferită gratuit pentru o perioadă extinsă de 90 de zile. Cu ajutorul Bitdefender Total Security, vei beneficia de cea mai bună protecție împotriva amenințărilor online la nivelul tuturor sistemelor de operare principale. Funcția de protecție în timp real inclusă în software-ul nostru de securitate oferă protecție non-stop împotriva tuturor amenințărilor, inclusiv virușilor, malware-ului de tip worm, Trojan, ransomware, exploit-uri de tip „zero-day”, rootkit-uri și spyware pentru ca tu și datele tale să fiți mereu în siguranță.

Notă: Acest articol a fost creat în baza informațiilor tehnice furnizate de Bitdefender Labs

Rămâneți în siguranță!