Proofpoint volgt al sinds het begin van de pandemie cyberaanvallen die gebruik maken van COVID-19-gerelateerde thema’s. TA452, bekend om de verspreiding van Emotet, begon in januari 2020 voor het eerst COVID-19 te gebruiken in e-mailaanvallen. Sinds eind juni 2021 heeft Proofpoint een groot aantal COVID-19-gerelateerde campagnes waargenomen die de malwares RustyBuer, Formbook, en Ave Maria verspreiden. Daarnaast zijn er meerdere corporate phishing-pogingen gezien die als doel hadden om Microsoft- en O365-inloggegevens te stelen.
De toename van COVID-19-thema’s komt overeen met de publieke belangstelling voor de zeer besmettelijke Delta-variant. Volgens wereldwijde Google Trend-data piekten wereldwijde zoekopdrachten naar “Delta-variant” in de laatste week van juni 2021 en was dit nog steeds het geval tot en met augustus 2021.
Tijdens de pandemie hebben cybercriminelen misbruik gemaakt van de angst en onzekerheid rond het coronavirus en werd het een populair middel voor social engineering. Toen er vaccins beschikbaar kwamen, begonnen aanvallers thema’s te gebruiken die te maken hadden met de vaccinatiestatus van landen. Criminelen koppelden COVID-19-thema’s vaak aan berichten over financiële steunmaatregelen of medische informatie. Deze trend zet zich voort nu de Delta-variant zich verspreidt en bedrijven vaccinaties eisen voordat werknemers weer aan het werk kunnen.
Diefstal van inloggegevens
Onderzoekers van Proofpoint hebben meerdere grootschalige COVID-19-gerelateerde campagnes gezien waarbij inloggegevens werden gestolen. Zo was er een Microsoft-campagne gericht op het stelen van inloggegevens bij duizenden organisaties over de hele wereld.
De berichten waren zogenaamd zelfrapportages over vaccinaties die werden verzonden door de HR-afdelingen van die bedrijven. De berichten bevatten een URL die waarschijnlijk leidt naar een valse Microsoft-authenticatiepagina, ontworpen om inloggegevens te verzamelen.
Onlangs hebben veel grote Amerikaanse bedrijven hun werknemers verplicht om zich te laten vaccineren voordat ze weer naar kantoor gaan. Naarmate meer werkgevers eisen dat werknemers worden gevaccineerd, zullen aanvallers waarschijnlijk dit soort vaker dit soort berichten gebruiken.
Formbook
Onderzoekers van Proofpoint hebben een andere grootschalige Formbook-campagne waargenomen die naar honderden organisaties is gestuurd, zogenaamd door een HR-professional (Afbeelding 3). De e-mails bevatten een gecomprimeerd bestand (bijv. Scan.Salary.zip) en lieten de ontvangers weten zij werden ontslagen vanwege de financiële gevolgen van COVID-19.
De e-mails zijn vrij algemeen, maar wel toegespitst op de beoogde organisatie. Om de ontvanger te overtuigen het schadelijke bestand te openen, staat in de e-mail dat een “salarisstrook van 2 maanden” is bijgevoegd. De e-mails bevatten een schadelijke .ZIP-bijlage, die na het uitpakken en uitvoeren leidt tot de installatie van Formbook-malware. Deze campagne bestond uit meer dan 7.000 e-mails bestemd voor allerlei organisaties.
Aandacht in de media
Als steeds meer mensen besmet raken met de Delta-variant verwachten we dat de media-aandacht hierover wereldwijd zal toenemen. Op basis van het verleden leidt meer media-aandacht er waarschijnlijk toe dat cybercriminelen zullen terugvallen op COVID-19 voor social engineering. Het is mogelijk dat steeds meer aanvallers het virus als lokmiddel zullen gaan gebruiken in toekomstige campagnes zolang het aantal infecties en de belangstelling voor het virus en beschermende maatregelen hoog blijft.