top of page

Bitdefender Labs zaznamenává zvýšenou míru podvodných aktivit, zneužívajících válku na Ukrajině

Aktualizováno: 16. 11. 2023



Zatímco válka na Ukrajině sílí, inženýři Bitdefender Labs zaznamenávají vlny podvodných a škodlivých e-mailů, zneužívajících humanitární krizi a dobročinnost příjemců po celém světě. Co jsme zatím zaznamenali:


Malspamové kampaně obsahují Agent Tesla a Remcos RAT

Bitdefender Labs sledují od 1. března dvě phishingové kampaně, které se snaží infikovat příjemce dvěma známými trojskými koni pro vzdálený přístup - Agent Tesla a Remcos.


Kampaň č. 1:

První malspamová kampaň se podle všeho zaměřuje na organizace ve zpracovatelském průmyslu prostřednictvím přílohy .zip "REQ Supplier Survey". Útočníci žádají příjemce o vyplnění dotazníku, týkajícího se jejich záložních plánů v reakci na válku na Ukrajině.


Podle našich specialistů na výzkum hrozeb je škodlivý náklad stahován a instalován z odkazu Discord přímo v počítači oběti. Zajímavé však je, že interakce se škodlivým souborem stáhne do zařízení uživatele také čistou verzi prohlížeče Chrome - pravděpodobně se jedná o pokus o odvedení pozornosti uživatelů.



Agent Tesla je nechvalně proslulý RAT (Malware-as-a-Service, MaaS) a zloděj dat, který se během zdravotní krize vyskytoval v mnoha kybernetických útocích, založených na e-mailech. Pachatelé používají program Agent Tesla k exfiltraci citlivých informací včetně přihlašovacích údajů, stisknutých kláves a dat ze schránky svých cílů.


Podle naší analýzy útoky zřejmě pocházely z IP adres v Nizozemsku (86 %) a Maďarsku (3 %). Škodlivé e-maily se dostaly k příjemcům po celém světě, včetně Jižní Koreje (23 %), Německa (10 %), Spojeného království (10 %), USA (8 %), České republiky (14 %), Irska (5 %), Maďarska (3 %), Švédska (3 %) a Austrálie (2 %).


Zákazníci Bitdefenderu jsou již proti útokům Agent Tesla chráněni. Přiložený soubor REQ Supplier Survey.zip, detekovaný jako Gen:NN.ZemsilCO.34232.cm0@aKLKBXo, je detekován a blokován našimi řešeními pro firemní zákazníky (B2B řešení) i produkty pro koncové uživatele (B2C řešení).


Kampaň č. 2:

Naši analytici zaznamenali 2. března samostatnou malspamovou kampaň, v níž se útočníci vydávali za jihokorejskou zdravotnickou společnost, která se specializuje na diagnostické analyzátory in vitro, a prostřednictvím přílohy aplikace Excel (SUCT220002.xlsx) doručili Remcos RAT.


Zpráva se odvolává na probíhající konflikt na Ukrajině, a ptá se příjemců, zda chtějí pozastavit některou ze svých objednávek, dokud nebudou obnoveny dodávky a letecká doprava. Kybernetičtí útočníci nasazují Remcos RAT především prostřednictvím škodlivých dokumentů nebo archivů, aby získali plnou kontrolu nad systémy svých obětí. Jakmile se dostanou do systému, mohou zachytit stisky kláves, snímky obrazovky, přihlašovací údaje nebo jiné citlivé systémové informace, a exfiltrovat je přímo na své servery.



Zdá se, že 89 % škodlivých e-mailů pochází z IP adres v Německu a 19 % z USA. Útočníci se zaměřují na příjemce v Irsku (32 %), Indii (17 %), USA (7 %), Velké Británii (4 %), Německu (4 %), Vietnamu (4 %), Rusku (2 %), Jihoafrické republice (2 %) a Austrálii (2 %).


"Ačkoli nedávné kybernetické útoky nebyly zaměřeny konkrétně na ukrajinskou infrastrukturu nebo civilní obyvatelstvo, globální napětí vyvolané probíhající válkou se pravděpodobně projeví v dalších cílených útocích, které by mohly odradit záchranné služby a humanitární pomoc v zemi," uvedl Alexandru Maximciuc, odborník na výzkum hrozeb v Bitdefender Labs.


"Již jsme byli svědky masových DDoS útoků a wiper malwaru, které zasáhly finanční instituce a organizace na Ukrajině. Vzhledem k rozšířeným ekonomickým sankcím, které západní země zavedly v reakci na ruskou invazi, bychom digitální agrese zaměřené na narušení kritických infrastruktur neměli v současném prostředí hrozeb opomíjet."


B2C i B2B řešení Bitdefender detekují škodlivou přílohu SUCT220002.xlsx, přinášející Remcos RAT jako Exploit.CVE-2017-11882.Gen.


Charitativní podvody s kryptoměnami sílí

25. února zaznamenala Bitdefender Antispam Lab první signály o podvodnících, využívajících ruské invaze na Ukrajinu a zprávy o ukrajinských občanech, prchajících ze země. Jak se dalo očekávat, podvodníci nadále využívají probíhající humanitární krizi k vlastnímu finančnímu prospěchu.


Během několika hodin po invazi ukrajinská vláda oznámila, že přijímá dary v kryptoměnách BTC a ETH, a globální komunita ji nezklamala. Podle nejnovější analýzy blockchainových transakcí bylo do peněženky ETH zasláno přes 18 524 transakcí v celkové hodnotě přes 9,7 milionu dolarů, zatímco peněženka BTC vykázala více než 9 300 transakcí v hodnotě 9,4 milionu dolarů.


Není pochyb o tom, že jednotlivci, organizace i vlády si musí vybírat strany, a kyberzločinci tak musejí zintenzivnit své úsilí, aby přesměrovali veškerou finanční pomoc do svých kapes.


"Je známo, že velké globální události a krize spouštějí škodlivé spamové kampaně, které využívají lidských emocí a touhy lidí pomoci," řekl Adrian Miron, Antispam Research Manager ve společnosti Bitdefender.


"Zatím jsme si všimli, že útočníci velmi rychle reagovali na legitimní oznámení Ukrajiny. a dalších organizací. a napodobovali formát jejich zpráv. Očekáváme, že rozmanitost phishingových a malwarových kampaní, i objem denně zasílaných zpráv, se bude neustále zvyšovat, a útočníci tomu přizpůsobí své metody přesvědčování."


Bitdefender Labs aktivně monitoruje podvodné dárcovské e-maily, které vyzývají příjemce k darování peněz. Podvodníci se vydávají za Ukrajinskou vládu, mezinárodní humanitární agenturu Act for Peace, UNICEF a další nadační projekty, jako je například Ukraine Crisis Relief Fund, a žádají o finanční pomoc na podporu ukrajinské armády a milionů civilistů a dětí, které se ocitly ve válečném konfliktu.


Předměty emailů jsou následující:

  • Postavte se na stranu lidu Ukrajiny. Nyní přijímáme dary v kryptoměnách. Bitcoin, Ethereum a USDT

  • POMOZTE UKRAJINĚ zastavit válku!

  • Humanitární dary pro Ukrajinu

  • Přispějte na Ukrajinu, pomozte zachránit životy: Prosím, čtěte.

  • Naléhavé! Pomozte dětem na Ukrajině

  • Pomoc Ukrajině


E-maily hrají na city uživatelů a poukazují na dopad na obyvatele Ukrajiny a na rostoucí počet uprchlíků, kteří utíkají ze země a potřebují zajistit zásoby a bydlení.


Podle Bitdefender Antispam Lab dosáhly podvody založené na e-mailové charitě vrcholu 2. března.

Jedna konkrétní kampaň, která používá předmět "Postavte se na stranu ukrajinského lidu. Nyní přijímáme dary v kryptoměnách. Bitcoin, Ethereum a USDT", pocházející z IP adres v Číně, dorazila 2. března do desítek tisíc schránek. Pětadvacet procent podvodných e-mailů bylo adresováno uživatelům ve Velké Británii, 14 % v USA, 10 % v Jižní Koreji, 8 % v Japonsku, 7 % v Německu, 4 % v Rumunsku a po 2 % v Řecku, Finsku a Itálii.



Další ukázky podvodů s kryptoměnami si můžete prohlédnout níže:







E-mailové schéma ve stylu Nigerijský princ

Spamové filtry Bitdefender zaznamenaly také ukrajinskou variantu podvodu Nigerijský princ. E-mail, který údajně zaslal známý podnikatel z Ukrajiny, žádá o vaši pomoc při převodu 10 milionů dolarů, dokud se nebude moci přestěhovat na bezpečné místo.


Podvodníci, kteří stojí za tímto konkrétním podvodem, posílají e-maily z IP adres v Botswaně (83 %), Německu (10 %) a Francii (5 %). Jejich hlavním publikem jsou uživatelé v Německu (42 %), Turecku (16 %), USA (16 %), Irsku (8 %) a Polsku (3 %).


Uživatelé, kteří na tento e-mail odpoví, se však naneštěstí spojí s podvodníkem, který je požádá o osobní údaje, aby jim pomohl převést peníze ze země. Ačkoli e-mail neslibuje příjemcům za jejich pomoc žádnou finanční odměnu, podvodník pravděpodobně uvede odměnu za to, že mu pomohou převod dokončit. Nejčastěji bude podvodník žádat příjemce o zaplacení administrativních poplatků, které jsou často spojeny s přesunem velkých částek. Po oklamání oběti podvodník buď zmizí i s penězi, nebo, v horším případě, vyčerpá při tom její bankovní účet.



Bitdefender se zaměřuje na kybernetickou bezpečnost

Skutečnost, že kyberzločinci a podvodníci využívají krizi na Ukrajině ke krádežím peněz uživatelů a šíření škodlivých souborů, není pro odborníky na kybernetickou bezpečnost žádným překvapením. Přestože válka na Ukrajině může být od mnoha z nás vzdálena tisíce kilometrů, utrpení lidí vyvolává silnou emocionální odezvu u uživatelů po celém světě, kteří chtějí podat pomocnou ruku uprchlíkům, kteří z této válkou postižené evropské země utíkají.


Vyzýváme všechny uživatele internetu, aby v této neklidné době dbali zvýšené ostražitosti a dodržovali správnou kybernetickou hygienu, aby se jejich těžce vydělané peníze nedostaly do nesprávných rukou:

  • Nikdy neklikejte na odkazy nebo přílohy v e-mailech nebo zprávách, které vás vyzývají k naléhavému poskytnutí finančních prostředků.

  • Přispívejte výhradně prostřednictvím oficiálních a důvěryhodných charitativních a neziskových organizací

  • Pravidelně kontrolujte své finanční účty, zda se na nich nevyskytují podezřelé aktivity nebo nedovolené transakce

  • Nastavte si jedinečná hesla pro všechny online účty


V reakci na vojenskou krizovou situaci a zvýšenou aktivitu kyberzločinců, nabízí společnost Bitdefender a Romanian National Cyber Security Directorate (DNSC), zdarma kybernetickou ochranu pro všechny ukrajinské občany, společnosti nebo instituce, a to po nezbytně nutnou dobu.


Poznámka: Tento článek je zpracován na základě technických informací poskytnutých s laskavým svolením Bitdefender Labs.


Zůstaňte v bezpečí!





12 zobrazení0 komentářů

Commentaires


Les commentaires ont été désactivés.
bottom of page