Seit Januar beobachten wir sowohl Cyber-Kriminelle als auch - wie wir annehmen - staatlich geförderte Spionagekampagnen, die das Thema COVID-19 als Köder in Phishing-E-Mails nutzen. Als Köder sind E-Mail-Anhänge und Links gemeint, die zwar seriös aussehen, aber Schadcode enthalten. Jens Monrad, Head of Mandiant Threat Intelligence, EMEA, FireEye nennt aktuelle Erkenntnisse.
Diese Aktivitäten haben seit Januar zugenommen, da immer mehr Nationen von Infektionen betroffen sind. Einige der von uns beobachteten Malware-Kampagnen sind für eine große Menge an Spam- und Phishing-E-Mails verantwortlich und werden auch für die Verbreitung von Ransomware verwendet (beispielsweise Emotet, Trickbot, Nanocore, AZORult, FormBook, Remcos RAT und AgentTesla).
Die Köder variieren: Während manche vorgeben, von bekannten Quellen wie etwa der Weltgesundheitsorganisation WHO zu stammen, locken andere mit relevanten Informationen für sehr spezifische und kleine Zielgruppen. Wir haben unter anderem beobachtet, dass angebliche "Verkäufer" die aktuelle Situation ausnutzen und in Foren Werbung für Artikel und Kits schalten. Zu den schädlichen Inhalten gehören unter anderem Weltkarten, auf denen die Ausbreitung des Coronavirus nachgezeichnet wird.
Spear-Phishing-E-Mails mit dem Thema Coronavirus werden verstärkt eingesetzt, um Malware in verschiedenen Branchen und Regionen zu verteilen. Das hohe Interesse an den aktuellen Ereignissen erhöht die Chancen der kriminellen Akteure, Zugriff auf attraktive Ziele zu erhalten.
Wir gehen davon aus, dass sie ihre Kampagnen weiter verbessern und auf das Dringlichkeitsbewusstsein, die Sorgen sowie den guten Willen der Internet-Nutzer zuschneiden werden. Besonders geeignet dafür sind Ereignisse im medizinischen Bereich sowie Regierungsankündigungen, wirtschaftliche Auswirkungen, der Tod bekannter Personen und zivile Unruhen.
Wir ermutigen alle Anwender, aufmerksam zu bleiben und auf Social-Engineering- und Desinformations-Kampagnen im Zusammenhang mit dem Coronavirus zu achten. Um verlässliche Informationen über die aktuelle Lage zu erhalten, sollten sie vertrauenswürdige Quellen der öffentlichen Hand nutzen. Wenn Nutzer unerwartet E-Mails mit Inhalten zum Coronavirus bekommen, sollten sie sorgfältig prüfen, woher diese stammen und sie im Zweifelsfall löschen.