zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Delta-variant leidt tot toename COVID-19-thema's in e-mailaanvallen

Steeds meer COVID-19-gerelateerde campagnes met malware

26 augustus 2021 - Proofpoint volgt al sinds het begin van de pandemie cyberaanvallen die gebruik maken van COVID-19-gerelateerde thema's. TA452, bekend om de verspreiding van Emotet, begon in januari 2020 voor het eerst COVID-19 te gebruiken in e-mailaanvallen. Sinds eind juni 2021 heeft Proofpoint een groot aantal COVID-19-gerelateerde campagnes waargenomen die de malwares RustyBuer, Formbook, en Ave Maria verspreiden.

Daarnaast zijn er meerdere corporate phishing-pogingen gezien die als doel hadden om Microsoft- en O365-inloggegevens te stelen.


De toename van COVID-19-thema's komt overeen met de publieke belangstelling voor de zeer besmettelijke Delta-variant. Volgens wereldwijde Google Trend-data piekten wereldwijde zoekopdrachten naar "Delta-variant" in de laatste week van juni 2021 en was dit nog steeds het geval tot en met augustus 2021.
De toename van COVID-19-gerelateerde aanvallen is een wereldwijd fenomeen. Proofpoint heeft tienduizenden berichten opgemerkt die bestemd waren voor klanten in allerlei sectoren over de hele wereld.
Tijdens de pandemie hebben cybercriminelen misbruik gemaakt van de angst en onzekerheid rond het coronavirus en werd het een populair middel voor social engineering. Toen er vaccins beschikbaar kwamen, begonnen aanvallers thema's te gebruiken die te maken hadden met de vaccinatiestatus van landen. Criminelen koppelden COVID-19-thema's vaak aan berichten over financiële steunmaatregelen of medische informatie. Deze trend zet zich voort nu de Delta-variant zich verspreidt en bedrijven vaccinaties eisen voordat werknemers weer aan het werk kunnen.
 
Diefstal van inloggegevens
Onderzoekers van Proofpoint hebben meerdere grootschalige COVID-19-gerelateerde campagnes gezien waarbij inloggegevens werden gestolen. Zo was er een Microsoft-campagne gericht op het stelen van inloggegevens bij duizenden organisaties over de hele wereld.
De berichten waren zogenaamd zelfrapportages over vaccinaties die werden verzonden door de HR-afdelingen van die bedrijven (Afbeelding 2). De berichten bevatten een URL die waarschijnlijk leidt naar een valse Microsoft-authenticatiepagina, ontworpen om inloggegevens te verzamelen.
Onlangs hebben veel grote Amerikaanse bedrijven hun werknemers verplicht om zich te laten vaccineren voordat ze weer naar kantoor gaan. Naarmate meer werkgevers eisen dat werknemers worden gevaccineerd, zullen aanvallers waarschijnlijk dit soort vaker dit soort berichten gebruiken.
 
Formbook
Onderzoekers van Proofpoint hebben een andere grootschalige Formbook-campagne waargenomen die naar honderden organisaties is gestuurd, zogenaamd door een HR-professional (Afbeelding 3). De e-mails bevatten een gecomprimeerd bestand (bijv. Scan.Salary.zip) en lieten de ontvangers weten zij werden ontslagen vanwege de financiële gevolgen van COVID-19.
De e-mails zijn vrij algemeen, maar wel toegespitst op de beoogde organisatie. Om de ontvanger te overtuigen het schadelijke bestand te openen, staat in de e-mail dat een "salarisstrook van 2 maanden" is bijgevoegd. De e-mails bevatten een schadelijke .ZIP-bijlage, die na het uitpakken en uitvoeren leidt tot de installatie van Formbook-malware. Deze campagne bestond uit meer dan 7.000 e-mails bestemd voor allerlei organisaties. 
 
Ave Maria
Proofpoint-onderzoekers hebben nieuwe Ave Maria-malwarecampagnes geïdentificeerd die grotendeels gericht zijn op energie- en industriële bedrijven. Ave Maria is een remote access trojan geschreven in C++. Hiermee kunnen aanvallers processen en bestanden manipuleren, command shell toegang verkrijgen, webcams monitoren, keyloggen, wachtwoorden stelen en op afstand toegang krijgen tot pc's.
De eerste e-mails die werden ontvangen, waren zogenaamd gezondheidsadviezen en bevatten "preventieve maatregelen" in verband met het beleid van het desbetreffende bedrijf. Meer dan duizend e-mails waren gericht aan tientallen klanten, waarbij meer dan 90% van de beoogde doelwitten zich in de energiesector bevond. Latere soortgelijke campagnes gebruikten thema's die geen betrekking hadden op COVID-19. In de e-mails stond ook meer over het aantal coronagevallen, sterfgevallen en toegediende vaccindoses (Afbeelding 4).  

RustyBuer
Een van de meest actieve COVID-19-gerelateerde dreigingen momenteel is RustyBuer. Dit is een nieuwe Rust-gebaseerde Buer Loader-variant die onderzoekers van Proofpoint voor het eerst detecteerden in april 2021. Buer is een downloader die wordt gebruikt in gehackte netwerken en als een 'Initial Access Broker' om andere secundaire payloads te distribueren, zoals ransomware.
Bij recente campagnes die gebruikmaken van COVID-19-thema's zijn de e-mails zogenaamd afkomstig van zorgprofessionals met onderwerpen die verwijzen naar vaccinatieplichten, gelijke kansen in de zorg en de huidige besmettingscijfers. In het verleden hebben aanvallers die Buer en RustyBuer exploiteerden over het algemeen geen gebruikgemaakt van COVID-19-thema's.
De geobserveerde berichten bevatten Microsoft Excel-bijlagen met wachtwoordbeveiliging en macro's die, wanneer ingeschakeld, RustyBuer downloaden en uitvoeren. De berichten zijn onsamenhangend, zinnen kloppen grammaticaal niet en lijken fragmenten uit nieuwsberichten te zijn. Het taalgebruik en de gebruikte afbeeldingen suggereren echter dat er haast is geboden en kunnen de ontvanger ertoe verleiden op de bijlage te klikken. 
 
Conclusie
Als steeds meer mensen besmet raken met de Delta-variant verwachten we dat de media-aandacht hierover wereldwijd zal toenemen. Op basis van het verleden leidt meer media-aandacht er waarschijnlijk toe dat cybercriminelen zullen terugvallen op COVID-19 voor social engineering. Het is mogelijk dat steeds meer aanvallers het virus als lokmiddel zullen gaan gebruiken in toekomstige campagnes zolang het aantal infecties en de belangstelling voor het virus en beschermende maatregelen hoog blijft
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 De tien beste Europese steden voor een workation
 Helft supportprofessionals heeft invloed op besluiten die manager neemt
 Gelijkheid, diversiteit en inclusie: goed voor de medewerkers, maar ook goed voor het bedrijf?
 

Gerelateerde nieuwsitems

 Malware campagnes blijven voor groot deel gestoeld op corona-ontwikkelingen
 FluBot-malware verspreidt zich snel door Europa
 Ook cyberhygiëne onmisbaar in tijden van social distancing
 Kwaadaardige corona trackers zijn in opmars
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
E-learning laten ontwikkelen? Let op deze tips!
reacties
Dat coachen is ook niet alles.  (2) 
India minder aantrekkelijk door krappe arbeidsmarkt (1) 
Vijf actiepunten voor een geavanceerde data-analytics-strategie voor de toekomst (1) 
Zo toegankelijk zijn websites waar je belangrijke zaken regelt (1) 
Young Professionals ervaren steeds meer stress (1) 
Twee na grootste stijging werkgelegenheid ooit  (1) 
Nederlanders meest gierig: consumenten betalen steeds minder voor verzending (1) 
top10
De mentale antenne van de topverkoper
Wat mannelijke leiders moeten weten over het vrouwenbrein
Vier op tien jonge Nederlanders overwegen emigratie door woningtekort
Netto maandsalaris van Nederlander met modaal inkomen stijgt met 7,75 euro
Premie WA beperkt casco-verzekering stijgt ondanks daling schadelasten
Nederlander verwacht weer vaker de weg op te gaan voor werk
Drie op de vijf Nederlanders willen werken bij bedrijf dat diversiteit als kernwaarde heeft
Werving stijgt weer op prioriteitenlijstje Europese bedrijven
AFAS Software en Viisi Hypotheken beste Europese werkgevers
Werknemers richten zich tijdens pandemie op zelfsturend leren
meer top 10