Delta-variant leidt tot toename COVID-19-thema's in e-mailaanvallen

Proofpoint volgt al sinds het begin van de pandemie cyberaanvallen die gebruik maken van COVID-19-gerelateerde thema's. TA452, bekend om de verspreiding van Emotet, begon in januari 2020 voor het eerst COVID-19 te gebruiken in e-mailaanvallen. Sinds eind juni 2021 heeft Proofpoint een groot aantal COVID-19-gerelateerde campagnes waargenomen die de malwares RustyBuer, Formbook, en Ave Maria verspreiden. Daarnaast zijn er meerdere corporate phishing-pogingen gezien die als doel hadden om Microsoft- en O365-inloggegevens te stelen.

 

De toename van COVID-19-thema's komt overeen met de publieke belangstelling voor de zeer besmettelijke Delta-variant. Volgens wereldwijde Google Trend-data piekten wereldwijde zoekopdrachten naar "Delta-variant" in de laatste week van juni 2021 en was dit nog steeds het geval tot en met augustus 2021.

 

De toename van COVID-19-gerelateerde aanvallen is een wereldwijd fenomeen. Proofpoint heeft tienduizenden berichten opgemerkt die bestemd waren voor klanten in allerlei sectoren over de hele wereld.

 

Tijdens de pandemie hebben cybercriminelen misbruik gemaakt van de angst en onzekerheid rond het coronavirus en werd het een populair middel voor social engineering. Toen er vaccins beschikbaar kwamen, begonnen aanvallers thema's te gebruiken die te maken hadden met de vaccinatiestatus van landen. Criminelen koppelden COVID-19-thema's vaak aan berichten over financiële steunmaatregelen of medische informatie. Deze trend zet zich voort nu de Delta-variant zich verspreidt en bedrijven vaccinaties eisen voordat werknemers weer aan het werk kunnen.

 

Onderzoekers van Proofpoint hebben meerdere grootschalige COVID-19-gerelateerde campagnes gezien waarbij inloggegevens werden gestolen. Zo was er een Microsoft-campagne gericht op het stelen van inloggegevens bij duizenden organisaties over de hele wereld.

 

De berichten waren zogenaamd zelfrapportages over vaccinaties die werden verzonden door de HR-afdelingen van die bedrijven. De berichten bevatten een URL die waarschijnlijk leidt naar een valse Microsoft-authenticatiepagina, ontworpen om inloggegevens te verzamelen.

 

Onlangs hebben veel grote Amerikaanse bedrijven hun werknemers verplicht om zich te laten vaccineren voordat ze weer naar kantoor gaan. Naarmate meer werkgevers eisen dat werknemers worden gevaccineerd, zullen aanvallers waarschijnlijk dit soort vaker dit soort berichten gebruiken.

 

Onderzoekers van Proofpoint hebben een andere grootschalige Formbook-campagne waargenomen die naar honderden organisaties is gestuurd, zogenaamd door een HR-professional (Afbeelding 3). De e-mails bevatten een gecomprimeerd bestand (bijv. Scan.Salary.zip) en lieten de ontvangers weten zij werden ontslagen vanwege de financiële gevolgen van COVID-19.

 

De e-mails zijn vrij algemeen, maar wel toegespitst op de beoogde organisatie. Om de ontvanger te overtuigen het schadelijke bestand te openen, staat in de e-mail dat een "salarisstrook van 2 maanden" is bijgevoegd. De e-mails bevatten een schadelijke .ZIP-bijlage, die na het uitpakken en uitvoeren leidt tot de installatie van Formbook-malware. Deze campagne bestond uit meer dan 7.000 e-mails bestemd voor allerlei organisaties. 

 

Proofpoint-onderzoekers hebben nieuwe Ave Maria-malwarecampagnes geïdentificeerd die grotendeels gericht zijn op energie- en industriële bedrijven. Ave Maria is een remote access trojan geschreven in C++. Hiermee kunnen aanvallers processen en bestanden manipuleren, command shell toegang verkrijgen, webcams monitoren, keyloggen, wachtwoorden stelen en op afstand toegang krijgen tot pc's.

 

De eerste e-mails die werden ontvangen, waren zogenaamd gezondheidsadviezen en bevatten "preventieve maatregelen" in verband met het beleid van het desbetreffende bedrijf. Meer dan duizend e-mails waren gericht aan tientallen klanten, waarbij meer dan 90% van de beoogde doelwitten zich in de energiesector bevond. Latere soortgelijke campagnes gebruikten thema's die geen betrekking hadden op COVID-19. In de e-mails stond ook meer over het aantal coronagevallen, sterfgevallen en toegediende vaccindoses

 

Een van de meest actieve COVID-19-gerelateerde dreigingen momenteel is RustyBuer. Dit is een nieuwe Rust-gebaseerde Buer Loader-variant die onderzoekers van Proofpoint voor het eerst detecteerden in april 2021. Buer is een downloader die wordt gebruikt in gehackte netwerken en als een 'Initial Access Broker' om andere secundaire payloads te distribueren, zoals ransomware.

 

Bij recente campagnes die gebruikmaken van COVID-19-thema's zijn de e-mails zogenaamd afkomstig van zorgprofessionals met onderwerpen die verwijzen naar vaccinatieplichten, gelijke kansen in de zorg en de huidige besmettingscijfers. In het verleden hebben aanvallers die Buer en RustyBuer exploiteerden over het algemeen geen gebruikgemaakt van COVID-19-thema's.

 

De geobserveerde berichten bevatten Microsoft Excel-bijlagen met wachtwoordbeveiliging en macro's die, wanneer ingeschakeld, RustyBuer downloaden en uitvoeren. De berichten zijn onsamenhangend, zinnen kloppen grammaticaal niet en lijken fragmenten uit nieuwsberichten te zijn. Het taalgebruik en de gebruikte afbeeldingen suggereren echter dat er haast is geboden en kunnen de ontvanger ertoe verleiden op de bijlage te klikken. 

 

Als steeds meer mensen besmet raken met de Delta-variant verwachten we dat de media-aandacht hierover wereldwijd zal toenemen. Op basis van het verleden leidt meer media-aandacht er waarschijnlijk toe dat cybercriminelen zullen terugvallen op COVID-19 voor social engineering. Het is mogelijk dat steeds meer aanvallers het virus als lokmiddel zullen gaan gebruiken in toekomstige campagnes zolang het aantal infecties en de belangstelling voor het virus en beschermende maatregelen hoog blijft.