Cybercriminelen misbruiken donatiecampagnes rond oorlog Oekraïne

Recentelijk een spamcampagne geïdentificeerd die de Agent Tesla keylogger installeert

| Infoblox | 2 min | 8 maart 2022 17:06
Afbeelding: De aantallen nieuw waargenomen domeinen die de term ‘“ukraine’” bevatten in 2022 | Copyright: Infoblox
Het aantal nieuwe, Oekraïne-gerelateerde domeinnamen is significant gestegen, zo blijkt uit een analyse door de Threat Intelligence Group van securityspecialist Infoblox. Sinds de Russische invasie van Oekraïne op 24 februari zijn meer dan meer dan twee keer zoveel domeinen voor het eerst waargenomen dan in de voorgaande week. Veel van deze websites zijn daadwerkelijk opgezet om Oekraïners te ondersteunen. Maar cybercriminelen maken gebruik van deze behoefte om te helpen en hebben sites opgezet die deze hulpacties nabootsen of spoofen om crytovaluta buit te maken. Daarnaast is recentelijk een spamcampagne geïdentificeerd die de Agent Tesla keylogger installeert.

Infoblox heeft daarom een uitvoerige analyse gedaan, met een uitgebreide lijst van Indicators of Compromise (IoC) als resultaat. Omdat een aantal van deze IoC’s ook legitieme websites kunnen raken - zoals wanneer naar simpele externe formulieren wordt gelinkt - is tevens een handmatige analyse van tientallen nieuwe domeinnamen uitgevoerd. Daarbij werden aanvullende indicatoren geïdentificeerd om frauduleuze van legitieme websites te onderscheiden, zoals:
  • Crypto-adressen zonder transactiegeschiedenis
  • Claims van domeinnamen die niet publiekelijk te valideren zijn
  • Kruisverwijzingen met onderzoek van andere security-organisaties
  • Transacties naar andere recent geregistreerde domeinen
  • Meerdere, recent opgezette websites die vanaf eenzelfde IP-adres worden gehost
Naast frauduleuze websites ziet Infoblox ook e-mailcampagnes, die of leiden naar malafide websites of bijlagen met malware bevatten. Zo werd een week na het start van de invasie een malspam-campagne geïdentificeerd met een ZIP-bijlage die de Agent Tesla keylogger bevat.

IT-teams kunnen hun netwerken op enkele manieren beter beveiligen tegen dit soort cybercrime. Zo kunnen zij het gebruik van Tor-netwerken verbieden voor niet-kritieke bedrijfsprocessen, API-verzoeken naar messaging- en CDN-diensten monitoren en browsers verbieden credentials en andere gevoelige informatie op te slaan. Verder gelden de reguliere security-adviezen.

Infoblox raadt iedereen aan niet zomaar op links naar sites of bijlagen te klikken en de legitimiteit van de links vooraf te verifiëren. Sommige sites kunnen dienen als dekmantel voor criminele groeperingen, waarmee spyware op apparaten kan worden geïnstalleerd en persoonsgegevens kunnen worden verzameld. Voor zakelijke omgevingen geldt dat IT-teams extra waakzaam moeten zijn op verdacht gedrag binnen hun netwerken.

"Deze fraudepraktijken tonen aan dat cybercriminelen nauwlettend het nieuws in de gaten houden en bliksemsnel reageren als ze hun kans schoon zien”, zegt Dr. Renee Burton, Senior Director Threat Intelligence bij Infoblox en voorheen werkzaam bij het Amerikaanse ministerie van Defensie. “Een aantal malafide hulpsites werd binnen een dag na de invasie geactiveerd. Verschillende domeinen werden in de weken ervoor geregistreerd, wat erop wijst dat criminelen zich hebben voorbereid. Hoewel de voorkeur uitging naar cryptovaluta, vroegen de criminelen ook om bijdragen via creditcards en bankrekeningen. Ook in de Agent Tesla-campagne gebruiken criminelen de crisis om gebruikersgegevens en financiële informatie te stelen."

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Infoblox
Infoblox levert een next-level netwerkervaring met zijn Secure Cloud Managed Network services. Als voorloper op het gebied van betrouwbare, beveiligde en geautomatiseerde netwerken streeft Infoblox naar een zo eenvoudig mogelijk next-level netwerk.
Meer over Infoblox
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191029200614.jpg
Drive value with data
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.