Zscaler waarschuwt voor poging tot oplichting en malware rond het corona-virus

De security-cloud blokkeerde al 30.000 toegangspogingen tot nepdomeinen
| Zscaler | 2 min | 20 maart 2020 13:48
Foto: Een website die beweert thuistests voor het coronavirus te verkopen | Copyright: Zscaler
Cybercriminelen maken altijd misbruik van crisissituaties en dat zien we op dit moment ook weer gebeuren, nu er behoefte is aan informatie rond COVID-19. Volgens de meest recente onderzoeksresultaten van Zscaler is de verspreiding van oplichterij rond het coronavirus toegenomen sinds de Wereldgezondheidsorganisatie de uitbraak als een pandemie heeft geclassificeerd. Nietsvermoedende gebruikers, die op zoek zijn naar informatie rond het virus, zijn op dit moment een gemakkelijke prooi voor cybercriminelen. omdat ze sneller in nepwebsites trappen of op malware-geïnfecteerde bijlagen klikken.

Dataverkeer coronavirus
Fig.1: Dataverkeer rond het coronavirus / COVID-19 in de afgelopen weken in de Zscaler-cloud

De beveiligingsonderzoekers van het ThreatLabZ-team dringen aan op voorzichtigheid met websites, veelbelovende links of bijlagen met betrekking tot coronavirus / COVID-19. Hieronder een analyse van enkele huidige oplichtingpraktijken die rond gaan:

Nieuw geregistreerde domeinen

Sinds het coronavirus / COVID-19 door de WHO tot noodsituatie voor de gezondheid is verklaard, is er veel verkeerde informatie verspreid over mogelijke genezing, vaccins en het gebruik van beschermende maskers. Cybercriminelen profiteren van de informatiebehoefte en registreren nieuwe domeinen over deze onderwerpen. De afgelopen twee weken zijn er, alleen al over de maskers, meer dan 200 nieuwe domeinen geregistreerd. Veel van deze domeinen staan momenteel geparkeerd en zijn gereserveerd voor later gebruik. In de Zscaler-cloud zijn de afgelopen weken ongeveer 30.000 toegangspogingen geregistreerd bij nieuw geregistreerde domeinen met als onderwerp "Corona / COVID-19".

Bovendien wordt de huidige discussie over het plaatsvinden of mogelijk annuleren van sportevenementen door cybercriminelen gebruikt om nietsvermoedende gebruikers naar nepwebsites te lokken. Aangezien talloze sportevenementen al zijn geannuleerd of uitgesteld, willen sportfans graag weten hoe het zit met de Olympische Zomerspelen. Er verschijnen dus ook websites die van deze nieuwsgierigheid profiteren. Een van deze nieuw geregistreerde domeinen is bijvoorbeeld coronalympics2020[.]com, die werd geregistreerd op 7 maart 2020. Enkele andere domeinen die worden gevonden in verband met de zomerspelen en het virus zijn CoronavirusOlympics[.]com, geregistreerd op 26 februari 2020, en CoronaOlympics[.]com, geregistreerd op 5 maart 2020.

Oplichterij met mobiele apps, testen en phishing

Tijdens het onderzoek werd door de ThreatLabZ-analisten een hele reeks websites gevonden die een wondermiddel of absurde behandelmethoden voor COVID-19 beloven en zo winst uit de situatie willen halen.

nepwebsite
Fig. 2: Een nepwebsite die adverteert met een 'Corona Antivirus'-product

Omdat niet iedereen getest kan worden en de testen in sommige landen erg duur zijn, worden zogenaamde testkits aangeboden op frauduleuze oplichtingsites. Deze nep-aanbieders zijn al begonnen met het aannemen van pre-orders voor een 'coronavirus-thuistest'. Het aanbod is echter frauduleus.

Thuistests coronavirus
Fig 3: Een website die beweert thuistests voor het coronavirus te verkopen

In andere malware-campagnes kwamen de onderzoekers gevallen tegen waarin cybercriminelen "Corona" of "Covid" gebruikten als sleutelwoorden voor hun phishing-URL's. Zo was er ook een geval van een nep-startpagina van Outlook die angstige gebruikers target en doorstuurt naar een cdc.gov-URL. Deze URL staat bekend als een credential-farm en steelt alle ingevoerde gebruikersgegevens.

Malware-campagnes

‘Corona’ en ‘Covid’ worden bovendien gebruikt als zoekwoorden in bijlagen of bestandsnamen van malware-campagnes. Zo gebruikten malware-actoren bijvoorbeeld een besmette website met daarop de kaart over de corona-verspreiding van John Hopkins University, om zo geïnteresseerden te infecteren. Op deze manier werd bijvoorbeeld de AzoRult Infostealer gedistribueerd, een Trojaans paard dat informatie van een systeem verzamelt. In de Zscaler Cloud Sandbox werd ook een SpyGate backdoor-campagne ontdekt die werkt met de term covid.exe.

Over Zscaler

Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.  Meer over Zscaler

Hoe vind je dit artikel?


Geef jij de eerste rating?
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.
Alle rechten voorbehouden © 2019-2020, TechVisor