In Krisenzeiten gibt es immer wieder Opportunisten, die versuchen, sich die Situation zunutze zu machen. Auch mit der aktuellen Corona-Pandemie ist das nicht anders, wie es die Experten von Hornetsecurity immer häufiger beobachten können. Derzeit schießt der Prozentsatz der bösartigen E-Mails, die Verweise zu Corona enthalten, in die Höhe.
Im Folgenden soll daher beschrieben werden, wie die aktuelle Krisensituation Hackern vermehrt als Aufhänger für Betrugsversuche sowie zur Spam- und Malwareverbreitung dient.
Verglichen mit der Gesamtmenge an E-Mails, die von Hornetsecurity als bösartig eingestuft wurden, ist die Menge an E-Mails mit dem Thema Coronavirus zwar noch gering, steigt allerdings an.
Um den Lesern einen Einblick zu geben, wie Cyberkriminelle mit verschiedenen Aktivitäten die Corona-Krise ausnutzen, möchte das Security Lab einige ihrer täglichen Beobachtungen präsentieren.
Analyse
Nachfolgend werden drei unterschiedliche Formen cyberkrimineller Aktivitäten betrachtet:
– Betrug
– Spam
– Malware
Sextortion Erpresser schwenken auf Covid-19 Betrug um
Beginnen wir mit dem Evergreen der Betrügereien in der Cyberwelt: der Sextortion-Masche [1]. Das Opfer erhält eine E-Mail, in der behauptet wird, dass sein Computer während des Besuchs einer pornografischen Website kompromittiert und ein Video aufgenommen wurde. Um zu verhindern, dass das Video an Freunde und Verwandte des Opfers weitergegeben wird, soll ein Lösegeld, meist in Form von Bitcoins, gezahlt werden.
Eine Hackergruppe, die sonst diese Masche nutzt, zieht jetzt neue Seiten auf: Die Absender der E-Mails geben sich als Mitglieder der WHO aus und bitten die Empfänger um Spenden – Grundlage des Ganzen ist die Corona-Pandemie. Ein Beispiel:
Neben den vermeintlichen WHO-E-Mails kursieren noch mehr, allerdings weniger schmeichelhafte Nachrichten in den Postfächern von Nutzern: Hier droht ein angeblich mit Corona Infizierter mit der Verbreitung des Virus – auch hier wird ein Lösegeld in Form von Bitcoin gefordert, um dies zu verhindern.
Im folgenden Zeitreihengraphen ist die Zunahme der Aktivität zu sehen – der WHO-Betrug verwendet die Bitcoin-Adressen 16gmYrbqMr4SZeA7SqNVmirhnhDG3maYPK und 13Rfk6FXkqswaYnqMys5BkiDvJbwVdL8TD (in den Farben Blau und Rot dargestellt), während der Betrug, der direkt nach der Zahlung verlangt, die Adresse 18P3S6DuNUpW2WLozsrrW6rRd6xh24Rc7N (in der Farbe Grün dargestellt) verwendet:
Spam für N95/FFP3-Masken
Als nächstes werfen wir einen Blick auf die Spammer. Diese Gruppen versuchen in der Regel, dem Empfänger Produkte oder Dienstleistungen zu verkaufen, Besucher auf Websites zu locken (illegale SEO) oder das Interesse an Aktien zu steigern (Marktmanipulation).
Hier wird deutlich, welche Produkte, die mit der Corona-Krise in Verbindung stehen, von Spammern verwendet werden – Schutzmasken.
Die Zeitleiste dieser Aktivitäten zeigt, dass nicht nur die Vielfalt der Masken, die beworben werden, sondern auch das Gesamtvolumen dieser Spam-E-Mails steigt:
Massenverteilung von Malware
Nicht zuletzt wurden auch Aktivitäten zur Verbreitung von Malware beobachtet, die sich auf Corona beziehen. Zu diesem Zweck präsentieren wir Einblicke in eine Gruppe von Bedrohungsaktivitäten, die bei der Verbreitung von Malware (Formbook [2], Loki Bot [3], Agent Tesla [4] und AZORult [5]) in verschiedenen Archiven (ZIP, RAR, ACE, ISO, GZ, …), die an E-Mails angehängt werden, beobachtet wurden.
Ab dem 17. März 2020 tauchten in einigen E-Mails, die zu dieser Aktivitätsgruppe gehören, entweder „Corona“ oder „Covid-19“ im Betreff oder in den Namen der Anhänge auf. Dieser Trend nimmt weiter zu, wie aus der folgenden Zeitachse ersichtlich wird: die E-Mails ohne Corona-Bezug werden in grün und E-Mails mit Corona Bezug in rot dargestellt:
Abschluss und Abhilfe
Im Allgemeinen ist das Risiko für die Wirtschaft durch diese Bedrohungsaktivitäten das selbe wie vor der Krise. Die Cyberkriminellen nutzen weiterhin dieselben Schemata und Mechanismen.
Die Wahrscheinlichkeit, dass potenzielle Opfer hinsichtlich der aktuellen Ereignislage auf die Betrugsmaschen häufiger hereinfallen, ist allerdings groß. Ein weiterer nicht zu vernachlässigender Aspekt ist, dass E-Mails, die sensible Themen in Krisenzeiten aufgreifen, auch die Psyche der Empfänger ansprechen und ggf. belasten.
Ein gutes E-Mail-Filtersystem sollte verhindern, dass diese E-Mails die Postfächer der Endbenutzer erreichen – ganz egal ob diese einen Bezug zu Corona enthalten oder nicht.
Hornetsecuritys Spam und Malware Protection bietet mit einer garantierten Spamerkennung von 99,9% und einer Virenerkennung von 99,99% die höchsten Erkennungsraten am Markt. Damit haben auch Opportunisten, die die Corona-Krise ausnutzen wollen, keine Chance sich in die Mailboxen der Endnutzer einzuschleichen und Schäden anzurichten.
Referenzen
- [1] https://de.wikipedia.org/wiki/Sextortion
- [2] https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook
- [3] https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws
- [4] https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_tesla
- [5] https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult
