Újabb koronavírus témájú csaló levél kampányokat fedeztek fel szakértők. A levelek látszólag a WHO-tól érkeznek, azonban valójában információ lopó trójai programok terjesztését végzik. A MalwareHunterTeam szerint az egyik kampány felismerhető arról, hogy a káros e-mailek tárgy mezőjében „Coronavirus Updates” szerepel, a csatolmányban pedig egy ZIP fájl található. Ez tartalmazza a „MyHealth.exe” nevű fájlt, ami valójában egy downloader, ami a tényleges információlopást végző malware, a FormBook letöltéséért felel. (A FormBook-ot korábban kiberkémkedési céllal amerikai és Dél-Koreai célpontok ellen is alkalmazaták. Más spyware-ekhez hasonlóan képes adatok kinyerésére a HTTP forgalomból, figyelni a billentyűzet leütéseket, hozzáférhet a vágólap tartalmához és természetesen további káros összetevőket is letölthet.) Nemrég egy elsősorban olasz célpontokra fókuszáló másik malspam kampány is elindult, ami a TrickBot nevű káros kóddal fertőz. Hasonlóság, hogy ezek a levelek szintén a WHO-t megszemélyesítve készülnek (a feladó látszólag a WHO egyik munkatársa, Dr. Penelope Marchetti) és ugyancsak a koronavírussal kapcsolatos fontos óvintézkedésekre hivatkoznak. A tárgy mezőben ennél az „Informazioni importanti su precauzioni” szöveg szerepel.
(A kép forrása a securityaffairs.co)
Az NBSZ NKI egy korábbi kampányról készült tájékoztatóját itt találja.
