Cyberprzestępcy wykorzystują strach przed koronawirusem do kradzieży danych

Na ogólnoświatowej pandemii koronawirusa postanowili zarobić hakerzy, którzy pod pozorem wysyłania porad nad temat zabezpieczenia się przed COVID-19, kradną cenne informacje z komputerów lub telefonów komórkowych internautów.

Eksperci do spraw bezpieczeństwa oprogramowania zaobserwowali rozprzestrzenianie się poprzez e-maile pliku o nazwie "CoronaVirusSafetyMeasures_pdf", co sugeruje, że internauta znajdzie w nim porady, jak uniknąć zarażenia koronawirusem. Osoba, która uruchomi plik, otworzy RAT droppera, czyli trojana umożliwiającego zdalny dostęp do oprogramowania. Działa on jako keylogger, który rejestruje wszystkie naciśnięcia klawiszy. M.in. zapisuje on także nasze hasła, które każdego dnia wpisujemy w formularzach do logowania, na przykład na portalu bankowym.

Internauci, którzy korzystają z oprogramowania antywirusowego, nawet Windows Defender, który jest zainstalowany na niemal każdym komputerze, są zabezpieczeni przed takim atakiem. W takim przypadku po kliknięciu w hakerski plik nic złego się nie wydarzy.

"Nie uruchamiać plików z nieznanych źródeł"

W innym przypadku uruchomiony dropper rozpoczyna pobieranie zaszyfrowanego pliku binarnego. To powoduje pobranie dwóch plików: "filename1.vbs" oraz "filename1.exe". Zachowują się one w rejestrze systemu Windows, aby działać nawet po zresetowaniu komputera. Po tej operacji pracuje już keylogger, który ma na celu rejestrację wszystkich kliknięć na klawiaturze. Te dane zapisuje w pliku, który następnie wysyła do serwera na adres 66.154.98.108. Jest to amerykański dostawca hostingu, który działa od 2012 r.

- Hakerzy zrobią wszystko, aby uzyskać dostęp do naszych danych. Niestety koronawirus, który rozprzestrzenia się w błyskawicznym tempie, wcale nie pomaga nam w racjonalnym myśleniu. Chcemy uzyskać jak najwięcej informacji na temat tego, jak się przed nim uchronić, a to może nas zgubić - mówi Mariusz Politowicz, ekspert ds. bezpieczeństwa w międzynarodowej firmie Bitdefender, która zajmuje się tworzeniem oprogramowania antywirusowego. - Dlatego też należy zachować czujność i nie uruchamiać plików pochodzących z nieznanych źródeł. Niezależnie, czy mówimy tutaj o wiadomościach e-mail, bannerach na stronach internetowych lub innych miejscach, do których nie mamy zaufania - dodaje specjalista.

Fałszywe strony o koronawirusie

Wcześniej CERT Polska (z ang. Computer Emergency Response Team), specjalizujący się w dziedzinie bezpieczeństwa komputerowego, przestrzegł przed fałszywymi stronami w internecie, które pod pozorem pisania o koronawirusie pozyskują dostęp do konta użytkownika na Facebooku i wyłudzają od jego znajomych kody do Blika.

Uwaga!! Ostrzegamy przed atakiem mającym na celu pozyskanie dostępu do konta #Facebook i wyłudzaniem kodów @BLIKmobile od znajomych, tym razem ze scenariuszem informacji o koronawirusie. Uważajcie na fałszywe strony i podajcie dalej! pic.twitter.com/0QKSFUwTOX

— CERT Polska (@CERT_Polska) March 10, 2020

Na stronie z sensacyjnym zazwyczaj artykułem na temat COVID-19 znajduje się wideo. Aby je zobaczyć, trzeba podać dane logowania do Facebooka. W ten sposób cyberprzestępcy uzyskują dostęp do konta internauty i rozsyłają jego znajomym prośbę o podanie kodu Blika.

W ubiegłym roku CERT Polska odnotował 22 tys. zgłoszeń o ceberprzestępstwach i zarejestrował prawie 6,5 tys. incydentów.  Najczęściej był to phishing, spam i fałszywe sklepy internetowe.

W środę Światowa Organizacja Zdrowia nadała koronawirusowi status pandemii. Według ostatnich danych odnotowano 118 tys. zachorowań na COVID-19 w 114 krajach, a 4291 straciło życie. WHO zapowiedziało, że spodziewa się w nadchodzących tygodniach wzrostu zachorowań i zgonów.