G Data попереджає про активну спам-кампанію: нібито правила безпеки роботи на короні містять шкідливе ПЗ. Наразі зловмисники розсилають документ із нібито зміненими коронними правилами охорони праці. Електронний лист замаскований під інформацію від МОЗ.
Електронний лист, який нібито надійшов від Федерального міністерства охорони здоров’я, містить завантажувач шкідливого програмного забезпечення. Вкладений файл із назвою «Bund-Arbeitsschutzregel-Corona-September.zip» нібито містить документ із оновленими та тепер обов’язковими правилами захисту від інфекцій на робочому місці. З тексту електронного листа можна зробити висновок, що компанії в першу чергу є частиною цільової групи. З цієї причини компаніям наразі рекомендується бути особливо обережними, коли ймовірні електронні листи від органів влади потрапляють у поштову скриньку. Нам відомі повідомлення про поточні активні інфекції.
«Пандемія коронавируса все ще викликає багато невизначеності, а поєднання багатьох правил домашнього офісу та правил гігієни на робочому місці насправді створює серйозні проблеми для роботодавців», — говорить Тім Бергхофф, евангеліст безпеки в G DATA CyberDefense. «Саме з цієї причини відповідальні повинні дуже уважно дивитися і довіряти лише офіційним джерелам. Тому що зараження зловмисним програмним забезпеченням на даний момент ще менш корисно для компаній, ніж воно є зараз».
Зловмисники користуються необізнаністю співробітників і компаній
Тім Бергхофф, проповідник безпеки в G Data.
Текст електронного листа вказує на зустріч міністрів охорони здоров’я ЄС, на якій були переглянуті оновлені правила. Можливо, навіть правда, що така зустріч була – однак така інформація зазвичай не надсилається електронною поштою з міністерств, а публікується на окремому порталі. Проактивної розсилки немає.
Крім того, в тексті листа йдеться про зустріч, яка відбулася «сьогодні». У пошті також є деякі помилки символів, особливо літери U, W, C і D, а також умляути. Електронний лист також містить неправильну адресу відправника, яка посилається на «bundesministerium-gesundheit.com», але цей домен не належить Міністерству охорони здоров’я. Адреса, зазначена в тексті електронного листа "[захищено електронною поштою]» насправді правильно.
Попередня інформація особливо корисна проти добре проведеної спам-кампанії
Щоб захистити себе від зараження зловмисним програмним забезпеченням електронною поштою від такої спам-кампанії, компанії та приватні особи повинні отримувати всю інформацію про пандемію COVID19 та відповідні заходи захисту лише з офіційних джерел. Уся актуальна інформація про Корону та COVID19 зібрана на сайті Федерального міністерства охорони здоров’я (BmG).
До речі, зараз у дорозі ще один електронний лист із такою ж шкідливою функцією у вигляді підробленого листа-заявки. Одне з імен, яке використовується для передбачуваного додатка, — «Клаудія Алік».
Те, що зловмисники використовують пандемію як важіль для своєї діяльності, не є новим: ще на початку пандемії шахраї подбали про тимчасове призупинення виплат фінансової допомоги вразливим компаніям.
Шкідливі функції завантажувача скриптів “Buer”
Відповідно до поточних відомостей, вкладення електронної пошти містить завантажувач JScript під назвою «Buer», який, у свою чергу, завантажує подальше шкідливе програмне забезпечення з Інтернету. Це NuclearBot – банківський троян, який, серед іншого, націлений на паролі банківських рахунків.
Більше про це в блозі на GData.de