Phishing com o tema Covid-19 visam ao setor de saúde e organizações governamentais

A Unit 42 (equipe de inteligência de ameaças da Palo Alto Networks) divulgou uma pesquisa sobre novas campanhas de phishing utilizando o tema COVID-19 e que tinham como alvos organizações nos Estados Unidos, Canadá, Turquia, Alemanha, Inglaterra e Japão.
A Unit 42 detectou duas campanhas:
– Uma variante de ransomware (EDA2) destinada a uma organização de saúde do governo e a uma universidade de pesquisa médica, ambas canadenses.
– Uma variante infostealer (AgentTesla) destinada a ataques contra vários outros alvos (por exemplo, uma entidade de pesquisa de defesa dos Estados Unidos, uma agência governamental turca que administra obras públicas, uma empresa de manufatura industrial alemã, um fabricante de produtos químicos coreano, um instituto de pesquisa localizado no Japão e instalações de pesquisa médica no Canadá).

Visão geral da campanha de ramsonware (EDA2)
Entre 24 de março de 2020 e 26 de março, foram observados vários e-mails maliciosos enviados a partir do endereço falsificado noreply @ who [.] Int (o endereço IP do remetente real no momento do ataque era 176.223 .133 [.] 91) a vários indivíduos associados a uma organização de saúde do governo canadense ativamente envolvida nos esforços de resposta ao Covid-19 e a uma universidade canadense que realiza pesquisas com o Covid-19. Todos os emails continham uma isca de phishing maliciosa Rich Text Format (RTF) com o nome de arquivo 20200323-sitrep-63-covid-19.doc, (SHA256: 62d38f19e67013ce7b2a84cb17362c77e2f13134ee3f8743cbadde818483e617, que abria um aplicativo vulnerável para o qual ransomware a aplicação de uma aplicação vulnerável) com payload usando uma vulnerabilidade conhecida de componente compartilhado da Microsoft, CVE-2012-0158.
Infecção
Depois de aberto com o software vulnerável de visualização de documentos, o anexo malicioso lança um binário de ransomware no disco em C: Users AppData Local svchost.exe e o executa.
Visão geral da campanha de roubo de informações (AgentTesla)
Um e-mail com anexo malicioso é enviado para a vítima no modo de phishing. O fluxo da campanha em que o email shipping @ liquidroam [.] com foi usado para enviar os emails mal-spam para vários clientes de setores da saúde, farmacêuticos, governamentais, entre outros. Após uma análise mais aprofundada dos anexos, descobrimos que as amostras eram droppers, fornecendo variantes da família de malware AgentTesla. O AgentTesla é um malware de roubo de informações que existe desde 2014. Como o AgentTesla é vendido em vários fóruns comumente visitados por cibercriminosos, seu uso cresceu significativamente nos últimos anos e tem sido uma das principais famílias de malware entre grupos de cibercriminosos como o SilverTerrier, famoso por campanhas do BEC.
Conclusão
O objetivo da pesquisa é de fornecer uma compreensão mais profunda de alguns dos tipos de campanhas de crimes cibernéticos enfrentados por vários setores críticos que lidam com os esforços de resposta urgentes e críticos da pandemia do Covid-19. É claro nesses casos que os atores de ameaças que lucram com o cibercrime vão de qualquer forma, incluindo atingir organizações que estão na linha de frente e responder diariamente à pandemia.
Embora este blog tenha se concentrado especificamente em duas campanhas, a Unit 42 está acompanhando várias campanhas com os temas Covid-19 sendo usados diariamente por atores de ameaças e essa tendência provavelmente continuará nas próximas semanas. Continuaremos atualizando o blog da Unit 42 com novas descobertas e observações sobre como a pandemia de Covid-19 em andamento está sendo alavancada por criminosos cibernéticos para obter lucro ilícito.
Para o relatório completo, visite: https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/