Diverse Europese landen hebben inmiddels weer allerlei lockdown-achtige maatregelen. Dit is grotendeels te wijten aan de opmars van het coronavirus, en dan in het bijzonder de omicron-variant. En zoals het verleden al vaker heeft uitgewezen, ruiken cybercriminelen hun kans dan weer schoon om nieuwe slachtoffers te maken. Zo heeft Proofpoint een toename gezien in het aantal e-mailaanvallen gericht op voornamelijk Noord-Amerikaanse universiteiten, waarbij overwegend coronagerelateerde thema’s worden gebruikt zoals testinformatie en de nieuwe Omicron-variant.
Proofpoint heeft tijdens de pandemie wel vaker aanvallen op universiteiten waargenomen met het coronavirus als thema. Maar de consistente, gerichte campagnes om inloggegevens te stelen zijn pas sinds oktober 2021 echt in opmars. Sinds de nieuwe Omicron-variant eind november bekend werd, begonnen cybercriminelen meteen de nieuwe variant te gebruiken in hun campagnes.
Cybercriminelen blijven coronagerelateerde thema’s gebruiken in campagnes gericht op meerdere sectoren en regio’s. De aanvallen die zich richten op universiteiten zijn echter opvallend vanwege de specifieke doelwitten en de moeite die wordt gedaan om legitieme inlogportalen na te bootsen. Het is waarschijnlijk dat deze activiteit de komende twee maanden zal toenemen.
Hogescholen en universiteiten eisen immers dat studenten, docenten en andere werknemers worden getest als zij tijdens en na de feestdagen van en naar de campus reizen. Maar ook aangezien de Omicron-variant op grotere schaal opduikt.
Details van de campagne
De campagnes met coronagerelateerde thema’s, inclusief de Omicron-variant, omvatten duizenden berichten gericht aan tientallen universiteiten in Noord-Amerika.
De phishing-e-mails bevatten bijlagen of URL’s die erop gericht zijn om inloggegevens voor universiteitsaccounts te ontfutselen. De landingspagina’s lijken meestal op het officiële inlogportaal van de universiteit, hoewel sommige campagnes Office 365-inlogportalen bevatten. Soms, zoals bij berichten met de Omicron-variant, worden slachtoffers omgeleid naar een legitiem bericht van de universiteit nadat de inloggegevens zijn gestolen.
E-mails met URL’s hebben onderwerpregels zoals “Let op – Informatie over de COVID-19 Omicron-variant – 29 november.”
Proofpoint heeft meerdere aanvalsclusters geïdentificeerd die coronagerelateerde thema’s gebruiken om universiteiten aan te vallen met verschillende tactieken, technieken en procedures (TTP’s). Naast meerdere leveringsmethoden – Proofpoint heeft zowel URL’s als bijlagen in campagnes waargenomen – gebruiken deze clusters verschillende afzender- en hostingmethoden om hun campagnes uit te voeren.
In sommige campagnes probeerden cybercriminelen inloggegevens voor multifactor-authenticatie (MFA) te stelen door MFA-leveranciers te spoofen. Door MFA-tokens te stelen, kan de aanvaller de tweede beveiligingslaag omzeilen die is ontworpen om aanvallers buiten te houden die de gebruikersnaam en het wachtwoord van een slachtoffer al kennen.
Hoewel veel berichten worden verzonden via valse afzenders, heeft Proofpoint cybercriminelen gezien die gebruikmaken van legitieme, gecompromitteerde universiteitsaccounts om e-mailaanvallen te verzenden. Het is waarschijnlijk dat de aanvallers inloggegevens van universiteiten stelen en gecompromitteerde mailboxen gebruiken om dezelfde aanvallen naar andere universiteiten te sturen.
Proofpoint schrijft deze activiteit niet toe aan een bekende actor of cybercriminele groep, en het uiteindelijke doel van de aanvallers is momenteel onbekend.
