Aanvallers gaan aan de haal met inloggegevens voor het remote beheer van Linksys routers om DNS-instellingen te wijzigen. Hiermee worden gebruikers naar een COVID-19 gerelateerde webpagina geleid die bedoeld is om malware (Oski inforstealer) te installeren. Bitbucket, een populaire web-based codebeheertool, wordt misbruikt om de kwaadaardige payloads te leveren. Om te zorgen dat het slachtoffer geen onraad ruikt, wordt de populaire URL-verkorter TinyURL ingezet om de link naar de Bitbucket payload te verbergen.
De webpagina waarnaar gebruikers worden doorverwezen lijkt inderdaad gewijd aan de door het coronavirus veroorzaakte pandemie en biedt een applicatie ter download aan die “de laatste informatie en instructies geeft over het coronavirus (COVID-19)”. Met de download wordt echter de malware geïnstalleerd.
De whitepaper van het onderzoek is bijgevoegd. Op de website van Bitdefender labs (labs.bitdefender.com) is dit onderzoek ook terug te vinden. Bitdefender doet onafgebroken onderzoek naar dreigingen. Op dit moment richt veel van het onderzoek zich op de dreigingen die inspelen op de aandacht voor het coronavirus. Houdt de website van Bitdefender in de gaten voor het meest recente onderzoek.
