zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Delta-variant leidt tot toename COVID-19-thema's in e-mailaanvallen

Steeds meer COVID-19-gerelateerde campagnes met malware

26 augustus 2021 - Proofpoint volgt al sinds het begin van de pandemie cyberaanvallen die gebruik maken van COVID-19-gerelateerde thema's. TA452, bekend om de verspreiding van Emotet, begon in januari 2020 voor het eerst COVID-19 te gebruiken in e-mailaanvallen. Sinds eind juni 2021 heeft Proofpoint een groot aantal COVID-19-gerelateerde campagnes waargenomen die de malwares RustyBuer, Formbook, en Ave Maria verspreiden.

Daarnaast zijn er meerdere corporate phishing-pogingen gezien die als doel hadden om Microsoft- en O365-inloggegevens te stelen.


De toename van COVID-19-thema's komt overeen met de publieke belangstelling voor de zeer besmettelijke Delta-variant. Volgens wereldwijde Google Trend-data piekten wereldwijde zoekopdrachten naar "Delta-variant" in de laatste week van juni 2021 en was dit nog steeds het geval tot en met augustus 2021.
De toename van COVID-19-gerelateerde aanvallen is een wereldwijd fenomeen. Proofpoint heeft tienduizenden berichten opgemerkt die bestemd waren voor klanten in allerlei sectoren over de hele wereld.
Tijdens de pandemie hebben cybercriminelen misbruik gemaakt van de angst en onzekerheid rond het coronavirus en werd het een populair middel voor social engineering. Toen er vaccins beschikbaar kwamen, begonnen aanvallers thema's te gebruiken die te maken hadden met de vaccinatiestatus van landen. Criminelen koppelden COVID-19-thema's vaak aan berichten over financiële steunmaatregelen of medische informatie. Deze trend zet zich voort nu de Delta-variant zich verspreidt en bedrijven vaccinaties eisen voordat werknemers weer aan het werk kunnen.
 
Diefstal van inloggegevens
Onderzoekers van Proofpoint hebben meerdere grootschalige COVID-19-gerelateerde campagnes gezien waarbij inloggegevens werden gestolen. Zo was er een Microsoft-campagne gericht op het stelen van inloggegevens bij duizenden organisaties over de hele wereld.
De berichten waren zogenaamd zelfrapportages over vaccinaties die werden verzonden door de HR-afdelingen van die bedrijven (Afbeelding 2). De berichten bevatten een URL die waarschijnlijk leidt naar een valse Microsoft-authenticatiepagina, ontworpen om inloggegevens te verzamelen.
Onlangs hebben veel grote Amerikaanse bedrijven hun werknemers verplicht om zich te laten vaccineren voordat ze weer naar kantoor gaan. Naarmate meer werkgevers eisen dat werknemers worden gevaccineerd, zullen aanvallers waarschijnlijk dit soort vaker dit soort berichten gebruiken.
 
Formbook
Onderzoekers van Proofpoint hebben een andere grootschalige Formbook-campagne waargenomen die naar honderden organisaties is gestuurd, zogenaamd door een HR-professional (Afbeelding 3). De e-mails bevatten een gecomprimeerd bestand (bijv. Scan.Salary.zip) en lieten de ontvangers weten zij werden ontslagen vanwege de financiële gevolgen van COVID-19.
De e-mails zijn vrij algemeen, maar wel toegespitst op de beoogde organisatie. Om de ontvanger te overtuigen het schadelijke bestand te openen, staat in de e-mail dat een "salarisstrook van 2 maanden" is bijgevoegd. De e-mails bevatten een schadelijke .ZIP-bijlage, die na het uitpakken en uitvoeren leidt tot de installatie van Formbook-malware. Deze campagne bestond uit meer dan 7.000 e-mails bestemd voor allerlei organisaties. 
 
Ave Maria
Proofpoint-onderzoekers hebben nieuwe Ave Maria-malwarecampagnes geïdentificeerd die grotendeels gericht zijn op energie- en industriële bedrijven. Ave Maria is een remote access trojan geschreven in C++. Hiermee kunnen aanvallers processen en bestanden manipuleren, command shell toegang verkrijgen, webcams monitoren, keyloggen, wachtwoorden stelen en op afstand toegang krijgen tot pc's.
De eerste e-mails die werden ontvangen, waren zogenaamd gezondheidsadviezen en bevatten "preventieve maatregelen" in verband met het beleid van het desbetreffende bedrijf. Meer dan duizend e-mails waren gericht aan tientallen klanten, waarbij meer dan 90% van de beoogde doelwitten zich in de energiesector bevond. Latere soortgelijke campagnes gebruikten thema's die geen betrekking hadden op COVID-19. In de e-mails stond ook meer over het aantal coronagevallen, sterfgevallen en toegediende vaccindoses (Afbeelding 4).  

RustyBuer
Een van de meest actieve COVID-19-gerelateerde dreigingen momenteel is RustyBuer. Dit is een nieuwe Rust-gebaseerde Buer Loader-variant die onderzoekers van Proofpoint voor het eerst detecteerden in april 2021. Buer is een downloader die wordt gebruikt in gehackte netwerken en als een 'Initial Access Broker' om andere secundaire payloads te distribueren, zoals ransomware.
Bij recente campagnes die gebruikmaken van COVID-19-thema's zijn de e-mails zogenaamd afkomstig van zorgprofessionals met onderwerpen die verwijzen naar vaccinatieplichten, gelijke kansen in de zorg en de huidige besmettingscijfers. In het verleden hebben aanvallers die Buer en RustyBuer exploiteerden over het algemeen geen gebruikgemaakt van COVID-19-thema's.
De geobserveerde berichten bevatten Microsoft Excel-bijlagen met wachtwoordbeveiliging en macro's die, wanneer ingeschakeld, RustyBuer downloaden en uitvoeren. De berichten zijn onsamenhangend, zinnen kloppen grammaticaal niet en lijken fragmenten uit nieuwsberichten te zijn. Het taalgebruik en de gebruikte afbeeldingen suggereren echter dat er haast is geboden en kunnen de ontvanger ertoe verleiden op de bijlage te klikken. 
 
Conclusie
Als steeds meer mensen besmet raken met de Delta-variant verwachten we dat de media-aandacht hierover wereldwijd zal toenemen. Op basis van het verleden leidt meer media-aandacht er waarschijnlijk toe dat cybercriminelen zullen terugvallen op COVID-19 voor social engineering. Het is mogelijk dat steeds meer aanvallers het virus als lokmiddel zullen gaan gebruiken in toekomstige campagnes zolang het aantal infecties en de belangstelling voor het virus en beschermende maatregelen hoog blijft
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Meer dan de helft van de Nederlanders voelt zich uitgeblust na werkdag
 Kwart Nederlanders wil sociale media verwijderen
 Nederland op twaalfde plaats als voorkeursland om in te wonen en te werken
 

Gerelateerde nieuwsitems

 Malware campagnes blijven voor groot deel gestoeld op corona-ontwikkelingen
 FluBot-malware verspreidt zich snel door Europa
 Ook cyberhygiëne onmisbaar in tijden van social distancing
 Kwaadaardige corona trackers zijn in opmars
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Houten wandpanelen voor een warme en huiselijke sfeer
reacties
Bijna de helft van de Nederlanders zet vakantiegeld op spaarrekening (2) 
Hoe zorg je ervoor dat werknemers cybersecurity serieus nemen? (1) 
Een beter salaris trekt Nederlander over de streep om een carrièreswitch naar de zorg te maken (1) 
Nederland is koploper flexibel werken (1) 
Zes competenties bij veerkracht (1) 
Stijgende energieprijzen en inflatie leiden tot ernstige problemen met onbetaalde energiefacturen (1) 
Bestaan er geen talent-gerichte leiders en organisaties meer? (6) 
top10
Hoe krijg je jouw collega’s terug naar kantoor?
Helft bedrijven door krappe arbeidsmarkt eerder bereid mbo’ers aan te nemen
Een op zes Nederlanders heeft financiële geheimen voor partner
Het belang van technologievaardigheid in de C-suite
Dit is waarom je de meeste vormen van MFA beter niet kunt gebruiken
Noodgedwongen een oppas van de zaak als secundaire arbeidsvoorwaarde
Eén op de vijf kan eerste werkdag nauwelijks werken door niet-werkende digitale middelen
Timemanagement is eigenlijk grote onzin!
93 procent van alle organisaties met OT-omgevingen kreeg te maken met hackers
Weg met de werkdip: vijf tips voor meer plezier in je werk
meer top 10