A doença Covid-19 está sendo usada como gancho para campanhas maliciosas de engenharia social, incluindo spam, malware, ransomware e domínios maliciosos. À medida que o número de casos continua a crescer no mundo, as campanhas que usam a doença como isca também aumentam. Pesquisadores do Panda Security têm identificado campanhas maliciosas relacionadas ao coronavírus, incluindo países como Estados Unidos, Japão, Rússia, China, Itália e Brasil.
Muitos desses e-mails, supostamente de organizações oficiais, afirmam conter atualizações e recomendações relacionadas à doença. Como a maioria das campanhas de spam, eles também incluem anexos maliciosos.
Um exemplo é uma campanha de spam supostamente enviada pelo Ministério da Saúde no Reino Unido. Ela contém recomendações sobre como prevenir infecções e vem com um anexo que supostamente contém as últimas atualizações sobre a Covid-19. No entanto, ele realmente contém um pedaço de malware. “Corona Virus Últimas Atualizações” como assunto.
Outros e-mails utilizados nessas campanhas estão relacionados às entregas de produtos, que supostamente foram adiadas ou modificadas por causa da propagação da doença. Tem ainda uma mensagem em português que promete notícias sobre uma suposta vacina para a Covid-19. Os cibercriminosos estão aproveitando ainda os mapas de monitoramento de coronavírus online, substituindo-os por sites falsos que facilitam o download e a instalação de malware.
Uma variante do ransomware CoronaVirus usa um site falso de otimização de sistema para se espalhar. As vítimas, sem saber, baixam um downloader para dois tipos de malware: o ransomware CoronaVirus e o roubo de senhas. Esta campanha faz parte de uma tendência recente vista no ransomware: combina criptografia de dados com roubo de informações.
Além disso, outra peça de ransomware, desta vez afetando os usuários de dispositivos móveis, chamada CovidLock, que supostamente ajuda a rastrear casos da Covid-19. O ransomware bloqueia os celulares de suas vítimas, dando-lhes 48 horas para apagar todos os dados no telefone e vazando detalhes de suas contas de mídia social.
Atenção deve ser dada aos domínios maliciosos que usam a palavra corona, como os que listamos a seguir:
- corona [.] com
- contra-coronavirus [.] com;
- alphacoronavirusvaccine [.] com
- corona-blindado [.] com
- anticoronaproducts [.] com
- corona-crisis [.] comcorona [.] com
- corona-emergencia [.] com
- beatingcoronavirus [.] com
- corona explicada [.] com
- bestcorona [.] com
- corona-iran [.] com
- betacoronavirusvaccine [.] com
- corona-ratgeber [.] com
- buycoronavirusfacemasks [.] com
- coronadatabase [.] com
- byebyecoronavirus [.] com
- coronadeathpool [.] com
- cdc-coronavirus [.] com
- coronadetect [.] com
- combatcorona [.] com
- coronadetection [.] com
Como se defender dessas e outras ameaças cibernéticas
O fato é que todos esses ataques usam vetores de entrada que poderiam ser considerados “tradicionais”. “Na Panda Security, temos esses vetores mais do que cobertos com nossas soluções para endpoint. Graças os bloqueios de quaisquer binários maliciosos, temos soluções de grande valor para parar essas campanhas, entre outras”, esclarece Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil.
As soluções Panda Adaptive Defense e o Panda Adaptive Defense 360 são serviços que oferecem um modelo de proteção baseado em confiabilidade, classificação de arquivos e controle de execução de aplicativos. O modo Bloqueio, que pode ser escolhido pela equipe de TI do usuário, impede a execução de todos os programas desconhecidos até que eles sejam classificados e avaliados se oferecem ameaças à rede.
“Este serviço permite um mecanismo altamente eficiente e automatizado para detectar e bloquear malware e ransomware, mesmo antes de serem executados, independentemente de serem novas variantes ou novos domínios de download, como é o caso das variantes de malware relacionadas ao COVID-19”, completa Américo.
As soluções Panda analisam os indicadores comportamentais e contextuais de ataque (IoAs) em dispositivos protegidos, mapeando os comportamentos comuns e incomuns que podem incluir baixar um executável de um Word ou acessar uma URL desconhecida ou maliciosa. Qualquer tentativa de comprometer o dispositivo é imediatamente bloqueada, na qual a execução e conexão dessas atividades maliciosas são interrompidas.