Компания Check Point продолжает следить за вредоносной активностью, связанной с эпидемией COVID-19. Мы уже писали об этом в [1]. Теперь компания опубликовала [2] результаты исследования доменов, связанных с инструментами удаленной работы Zoom, Google Meet, Microsoft Teams и других. Имитация этих доменов позволяет злоумышленникам заманивать корпоративных пользователей на поддельные сайты, перехватывать учетные данные и подключаться к корпоративным совещаниям, закрытым конференциям и даже правительственным совещаниям. Зафиксированы случаи, когда посторонние приняли участие в том числе и в правительственных совещаниях некоторых стран.
В частности, компания Check Point отмечает, что за последние три недели было зарегистрировано около 2449 новых доменов Zoom, 1,5% из которых — вредоносные (32), 13% — подозрительные (320). С января 2020 года во всем мире было зарегистрировано в общей сложности 6576 доменов, имитирующих платформу Zoom, среди них 37% пришлось на последние три недели после объявления пандемии коронавируса. Пока подробности конкретных атак на веб-сервис Zoom не публикуются, однако при пользовании этим сервисом стоит быть внимательным, использовать известные адреса для доступа к ним и лучше не переходить по предлагаемым ссылкам, но входить в конференцию по ее номеру и паролю. Естественно, что внутри конференции не стоит публиковать личных данных, поскольку к конференциям могут подключаться посторонние. Реальным адресом сервиса Zoom является https://zoom.us/ — его и стоит всегда использовать.
Обнаружены также методы привлечения посетителей на фальшивые сайты Microsoft Teams, например, по ссылке вида http://login\.microsoftonline.com-common-oauth2-eezylnrb\.medyacam\.com/common/oauth2/, которая ведет не на сайт microsoft.com, а на medyacam.com, где на компьютер жертвы загружались вредоносные коды. Естественно, не все пользователи могут правильно определить сайт, на который ведет ссылка. Для этого, как было показано выше, используются длинные и сложные доменные имена с использованием запутывающих обратных слешей. Реальный же адрес Microsoft Teams https://teams.microsoft.com/l/team.
Компания также обновила статистику по данным о зарегистрированных доменах, связанным с COVID-19. По ее данным За последние три недели было зарегистрировано 19 749 новых доменов, связанных с темой коронавируса, из которых 2% являются вредоносными (354) и еще 15% — подозрительными (2961). С начала вспышки эпидемии во всем мире было зарегистрировано в общей сложности 90284 новых домена, связанных с COVID-19. При этом аналитики компании выявили четыре особенности вредоносного использования доменов, связанных с пандемией. Так на первом этапе часто встречались домены, содержащие живые карты, которые позволяли отслеживать распространение вируса по разным регионам. Также популярны были сайты, описывающие симптомы коронавируса. Сейчас количество таких атак снижается. На втором этапе, который начался в конце марта, внимание злоумышленников было сосредоточено на различных видах помощи и выплатах, которые использовались для заманивания жертв. Пик подобного вида атак, похоже, уже пройден. Сейчас же, когда пандемия пошла на спад, широкое распространение получили домены, связанные с жизнью после коронавируса, а также домены, информирующие о второй волне эпидемии. И во все время пандемии домены, связанные с тестами, лекарствами и вакцинами, привлекали повышенное внимание злоумышленников. Их общее число продолжает расти и сейчас.
«За последние три недели мы заметили изменения в тенденциях распространения поддельных доменов. Чтобы выжать максимум из сложившейся ситуации, хакеры прибегают к рисковым методам. — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Если проанализировать последние кибератаки, очевидна тенденция имитирования доменов авторитетных организаций или популярных приложений. Например, в последнее время активно ведутся атаки от лица ВОЗ, ООН или Zoom. Сегодня особенно важно проявлять бдительность и остерегаться подозрительных доменов и отправителей, если речь идет о рассылках по email».
В условиях удаленной работы, когда для корпоративного общения используются различные ВКС-сервисы, такие как Zoom, Google Meet или Microsoft Teams — именно они и привлекают повышенное внимание злоумышленников. Сейчас хакеры всего мира активно исследуют эти сервисы и могут обнаружить самые разнообразные уязвимости в используемых для этого приложениях. Как правило, разработчики подобных сервисов стараются оперативно исправлять ошибки и добавлять функции защиты. Наиболее активна в этом плане команда разработчиков сервиса Zoom — они прекратили разработку новых функций сервиса, а сосредоточились на обеспечению безопасности, наняв на работу новых специалистов. Естественно, что Microsoft и Google также продолжают работать над обеспечение безопасности своих ВКС-решений. В целом, есть надежда, что безопасность этих сервисов будет обеспечена на высоком уровне, однако мошенники до последнего будут стараться привлечь работающих в удаленном режиме сотрудников на свои вредоносные сайты. Поэтому во время удаленной работы стоит максимально внимательно следить за присылаемыми ссылками и не переходить по слишком длинным и запутанным из них — лучше войти через личный кабинет сервиса и ввести идентификаторы сеансов вручную.
[1] http://www.connect-wit.ru/bojtes-internet-dary-prinosyashhij.html
[2] https://blog.checkpoint.com/2020/05/12/coronavirus-cyber-attacks-update-beware-of-the-phish/
