Especialistas da IBM X-Force descoberto uma nova campanha maliciosa, em que os cibercriminosos falsificam cartas da OMS, personificar seus CEOs, Tedros Adhanom Ghebreyesus, e enviar e-mails aos usuários contendo um keylogger HawkEye.
HawkEye é um programa de roubo de credenciais que geralmente é distribuído por meio de e-mails fraudulentos e Microsoft Word malicioso, Excel, Power Point, e arquivos RTF.
“Depois de instalar no computador da vítima, o malware tenta roubar as credenciais do e-mail e do navegador, incluindo aqueles usados pelo Internet Explorer, Google Chrome, Safári da Apple, e Mozilla Firefox”, – relatam especialistas do IBM X-Force.
Enquanto em campanhas anteriores, HawkEye foi distribuído por meio de mensagens de phishing em passagens aéreas e operações bancárias, agora os cibercriminosos exploraram o pânico em torno da pandemia de coronavírus.
Os e-mails contêm um arquivo com o arquivo “Doença do coronavírus (COVID-19) CURA.exe“. Dentro dele está um executável .NET que atua como um carregador HawkEye, oculto usando as ferramentas ConfuserEx e Cassandra Protector. Após a execução, o carregador inicia o Interfaces2.dll biblioteca e carrega o bitmap com o código assembly integrado.
O programa ReZer0V2.exe, projetado para desativar o Windows Defender, é extraído do arquivo de imagem. A amostra, que também contém sandbox e máquina virtual (VM) recursos de proteção, em seguida, incorpora o HawkEye em determinados processos em execução.
E também, de acordo com um relatório de Chester Wisniewski de Sophos, os criminosos se passam pela Organização Mundial da Saúde (QUEM) para roubar doações de criptomoedas para combater a pandemia de COVID-19.
“Os fraudadores estão enganando e roubando fundos destinados ao Fundo de Resposta Solidária à COVID-19”, – disse Chester Wisniewski.
A OMS criou este fundo em colaboração com a Fundação das Nações Unidas depois de a agência ter classificado oficialmente o coronavírus como uma pandemia em março. 11. Seu principal objetivo é preparar os países do mundo para o combate ao vírus, e especialmente aqueles estados em que o sistema de saúde é pouco desenvolvido.
Criminosos pedem que usuários façam uma doação enviando bitcoins diretamente para o endereço indicado no e-mail. Os imitadores também usam o endereço falso doar@quem[.]Interno para maior credibilidade.
Embora a OMS forneça informações detalhadas sobre o seu Fundo de Solidariedade e Resposta de Combate à COVID-19, ainda não está claro se aceita doações de criptomoedas.
Cibercriminosos, claro, usar a agenda de notícias global para enriquecer: é interessante que no início do ano the most popular character in phishing attacks was Greta Tunberg, e agora o coronavírus praticamente atendeu aos desejos do ativista: menos transporte, menos produção e emissões de CO. Você está satisfeito, Greta?
No entanto, de acordo com Como consertar, alguns operadores de malware decidiram mostrar nobreza, por exemplo, Maze e DoppelPaymer ransomware suspenderam ataques a organizações médicas.
