Hlavní navigace

Podvodníci zneužívají války na Ukrajině, lákají údaje a podstrkávají malware

16. 3. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Od konce února rychle přibývá podvodných e-mailů, které jako své téma zneužívají válku na Ukrajině. Jejich primárním cílem je okrást osloveného o peníze, objevují se ale také malwarové kampaně.

Bezpečnostní odborníci z Cisco Talos upozorňují na narůstající počty podvodných e-mailů souvisejících s konfliktem. Cíl je jednoduchý: zneužít situace a přesvědčit příjemce k akci, která ovšem obohatí útočníka. Jde sice jen o část celé spamové scény, ale s pokračujícím konfliktem se objevují nové a nové způsoby, jak oběti nalákat na falešnou notu humanitární pomoci.

Odborníci zveřejnili sbírku zaznamenaných podvodů, které mají se současnou ukrajinskou situací souvislost. Chtějí tak varovat potenciální příjemce, kteří se mohou stát velmi lehce obětí podvodu. Některé maily totiž vypadají přesvědčivě a objevují se v různých jazycích.

E-mailové kampaně

V následujícím příkladu odesílatel tvrdí, že potřebuje pomoc s dary pro charitativní organizace a požaduje od příjemce odpověď. Nabízí k tomu kontakt na populární komunikační aplikaci WhatsApp. Nejde o nic nového, jde o klasický příklad sociálního inženýrství, který se objevuje v mnoha jiných oblastech.


Autor: Cisco Talos

Jednoduchý spam s pokusem o sociální inženýrství

V jiném příkladu odesílatel tvrdí, že kvůli zásahu domu přišel o střechu nad hlavou a potřebuje finanční pomoc. Peníze je možné zaslat ve formě Bitcoinů.


Autor: Cisco Talos

Jednoduchý spam požadující Bitcoiny

Nezdá se, že by tato konkrétní kampaň byla nějak úspěšná, neboť na uvedenou peněženku zatím nedorazily žádné transakce. Dá se předpokládat, že takové aktivity budou pokračovat, protože narůstající uprchlická vlna má potenciál v řadě lidí vyvolat vlnu solidarity.

Další příklad obsahuje německy psaný e-mail, jehož autor se vydává za zástupce jednoho z největších bitcoinových tržišť v Německu. Text je psán bezchybnou němčinou a mail tvrdí, že platforma je od zahájení ukrajinské války ohrožena státem řízenými kyberútoky. Byla proto přijata bezpečnostní opatření, účty byly dočasně zablokovány a uživatel se musí přihlásit na zvláštní stránce, aby byl jeho účet opět přístupný.


Autor: Cisco Talos

Klasický podvodný e-mail od německého kryptoměnového tržiště

Mail obsahuje odkaz, který má uživatele přesvědčit, že navštívil web skutečného bitcoinového tržiště. Ve skutečnosti vede na stránku provozovanou útočníkem, přičemž cílem tohoto phishingu je získat od uživatele přihlašovací údaje.

Šíření malware

Zaznamenány byly také kampaně distribuující malware, které zneužívají veřejného zájmu o situaci na Ukrajině. Následující e-mail má předmět „Ukraine war“ následovaný číslem domnělé objednávky. Mail tvrdí, že dodávky zboží na Ukrajinu jsou pozastaveny a ptá se příjemce, zda si přeje také pozastavit platbu objednávky, která je v příloze.


Autor: Cisco Talos

Mail s objednávkou v příloze

Příloha vypadá jako dokument s tabulkou, který obsahuje objednávku nákupu. Pokud jej oběť otevře, dokument se pokusí zneužít chybu CVE-2017–11882 v balíku Microsoft Office a stáhnout ze serveru malware, který infikuje počítač oběti.


Autor: Cisco Talos

Neúspěšný pokus o stažení malware

V době analýzy nebyl tento konkrétní soubor na serverech už dostupný, ale ze stejných adres se distribuovalo velké množství jiných nákaz. Bylo také zaznamenáno, že v podobné době se z dané adresy šířil Remote Access Trojan (RAT) s názvem Rremcos, který dovoluje na dálku zcela ovládnout počítač oběti a vykonávat příkazy řídicího centra.

Dalším příkladem je mail, který je tématicky navázaný na humanitární pomoc uprchlíkům. Je napsán tak, aby vypadal jako zpráva od skutečného ukrajinského vládního zdroje. Kromě toho, že obsahuje číslo bitcoinové peněženky, nabízí opět také dokument v příloze.


Autor: Cisco Talos

Spam požadující pomoc uprchlíkům

Dokument obsahuje nesmyslný obsah, ale pokusí se na cílový stroj stáhnout obsah ze serveru provozovaného útočníkem. V tomto případě jde opět o už zmíněný malware Remcos.


Autor: Cisco Talos

Proces úspěšného stažení malware

Tato kampaň je evidentně úspěšnější, na bitcoinové peněžence bylo v době zveřejnění původního článku celkem 23 transakcí s celkovým objemem 5500 dolarů.

Aktuální téma pomáhá

O válku na Ukrajině se zajímá celý svět, což z tohoto tématu dělá dobře zneužitelný cíl pro podobné útoky. Nejde o žádnou novinku, aktuální témata se naposledy zneužívala v souvislosti s pandemií COVID-19 a předtím v mnoha jiných významných situacích. Útočníci jsou samozřejmě vynalézaví a pokud jim některé téma pomůže nalákat nové oběti, neváhají s jeho využitím.

V následujících dnech a týdnech se podobné kampaně budou objevovat, jak další a další útočníci zkusí tohle konkrétní téma využít. Zvláště organizace by si měly dát pozor na tento typ útoku, protože může být velmi účinný. Zejména v souvislosti s případnou kompromitací skutečného účtu (Business Email Compromise, BEC), ze kterého jsou pak odesílány legitimně vypadající maily.

CS24_early

Odborníci z Cisco Talos doporučují sledovat podrobně telemetrii vlastního e-mailového systému a doplnit jej o seznam slov, která se mohou v mailových kampaních objevovat. Velmi často jsou v textu používána slova Ukrajina a Rusko, včetně zápisu v cyrilici.

S kampaněmi jsou také spojená doménová jména  genautilus[.]com, newremc22[.]ddns[.]net  a IP adresy 136[.]144[.]41[.]109142[.]93[.]227[.]231.

Byl pro vás článek přínosný?