Bezpečnostní odborníci z Cisco Talos upozorňují na narůstající počty podvodných e-mailů souvisejících s konfliktem. Cíl je jednoduchý: zneužít situace a přesvědčit příjemce k akci, která ovšem obohatí útočníka. Jde sice jen o část celé spamové scény, ale s pokračujícím konfliktem se objevují nové a nové způsoby, jak oběti nalákat na falešnou notu humanitární pomoci.
Odborníci zveřejnili sbírku zaznamenaných podvodů, které mají se současnou ukrajinskou situací souvislost. Chtějí tak varovat potenciální příjemce, kteří se mohou stát velmi lehce obětí podvodu. Některé maily totiž vypadají přesvědčivě a objevují se v různých jazycích.
E-mailové kampaně
V následujícím příkladu odesílatel tvrdí, že potřebuje pomoc s dary pro charitativní organizace a požaduje od příjemce odpověď. Nabízí k tomu kontakt na populární komunikační aplikaci WhatsApp. Nejde o nic nového, jde o klasický příklad sociálního inženýrství, který se objevuje v mnoha jiných oblastech.
Jednoduchý spam s pokusem o sociální inženýrství
V jiném příkladu odesílatel tvrdí, že kvůli zásahu domu přišel o střechu nad hlavou a potřebuje finanční pomoc. Peníze je možné zaslat ve formě Bitcoinů.
Jednoduchý spam požadující Bitcoiny
Nezdá se, že by tato konkrétní kampaň byla nějak úspěšná, neboť na uvedenou peněženku zatím nedorazily žádné transakce. Dá se předpokládat, že takové aktivity budou pokračovat, protože narůstající uprchlická vlna má potenciál v řadě lidí vyvolat vlnu solidarity.
Další příklad obsahuje německy psaný e-mail, jehož autor se vydává za zástupce jednoho z největších bitcoinových tržišť v Německu. Text je psán bezchybnou němčinou a mail tvrdí, že platforma je od zahájení ukrajinské války ohrožena státem řízenými kyberútoky. Byla proto přijata bezpečnostní opatření, účty byly dočasně zablokovány a uživatel se musí přihlásit na zvláštní stránce, aby byl jeho účet opět přístupný.
Klasický podvodný e-mail od německého kryptoměnového tržiště
Mail obsahuje odkaz, který má uživatele přesvědčit, že navštívil web skutečného bitcoinového tržiště. Ve skutečnosti vede na stránku provozovanou útočníkem, přičemž cílem tohoto phishingu je získat od uživatele přihlašovací údaje.
Šíření malware
Zaznamenány byly také kampaně distribuující malware, které zneužívají veřejného zájmu o situaci na Ukrajině. Následující e-mail má předmět „Ukraine war“ následovaný číslem domnělé objednávky. Mail tvrdí, že dodávky zboží na Ukrajinu jsou pozastaveny a ptá se příjemce, zda si přeje také pozastavit platbu objednávky, která je v příloze.
Mail s objednávkou v příloze
Příloha vypadá jako dokument s tabulkou, který obsahuje objednávku nákupu. Pokud jej oběť otevře, dokument se pokusí zneužít chybu CVE-2017–11882 v balíku Microsoft Office a stáhnout ze serveru malware, který infikuje počítač oběti.
Neúspěšný pokus o stažení malware
V době analýzy nebyl tento konkrétní soubor na serverech už dostupný, ale ze stejných adres se distribuovalo velké množství jiných nákaz. Bylo také zaznamenáno, že v podobné době se z dané adresy šířil Remote Access Trojan (RAT) s názvem Rremcos, který dovoluje na dálku zcela ovládnout počítač oběti a vykonávat příkazy řídicího centra.
Dalším příkladem je mail, který je tématicky navázaný na humanitární pomoc uprchlíkům. Je napsán tak, aby vypadal jako zpráva od skutečného ukrajinského vládního zdroje. Kromě toho, že obsahuje číslo bitcoinové peněženky, nabízí opět také dokument v příloze.
Spam požadující pomoc uprchlíkům
Dokument obsahuje nesmyslný obsah, ale pokusí se na cílový stroj stáhnout obsah ze serveru provozovaného útočníkem. V tomto případě jde opět o už zmíněný malware Remcos.
Proces úspěšného stažení malware
Tato kampaň je evidentně úspěšnější, na bitcoinové peněžence bylo v době zveřejnění původního článku celkem 23 transakcí s celkovým objemem 5500 dolarů.
Aktuální téma pomáhá
O válku na Ukrajině se zajímá celý svět, což z tohoto tématu dělá dobře zneužitelný cíl pro podobné útoky. Nejde o žádnou novinku, aktuální témata se naposledy zneužívala v souvislosti s pandemií COVID-19 a předtím v mnoha jiných významných situacích. Útočníci jsou samozřejmě vynalézaví a pokud jim některé téma pomůže nalákat nové oběti, neváhají s jeho využitím.
V následujících dnech a týdnech se podobné kampaně budou objevovat, jak další a další útočníci zkusí tohle konkrétní téma využít. Zvláště organizace by si měly dát pozor na tento typ útoku, protože může být velmi účinný. Zejména v souvislosti s případnou kompromitací skutečného účtu (Business Email Compromise, BEC), ze kterého jsou pak odesílány legitimně vypadající maily.
Odborníci z Cisco Talos doporučují sledovat podrobně telemetrii vlastního e-mailového systému a doplnit jej o seznam slov, která se mohou v mailových kampaních objevovat. Velmi často jsou v textu používána slova Ukrajina a Rusko, včetně zápisu v cyrilici.
S kampaněmi jsou také spojená doménová jména genautilus[.]com, newremc22[.]ddns[.]net a IP adresy 136[.]144[.]41[.]109 a 142[.]93[.]227[.]231.
ČLÁNKY DO MAILU