Cybercriminelen misbruiken donatiecampagnes voor Oekraïne

Maandag werd ruim 100 miljoen euro gedoneerd aan organisaties die de slachtoffers van de oorlog in Oekraïne helpen. Helaas trekt een dergelijk financieel succes altijd weer criminelen aan, die voor eigen gewin een graantje willen meepikken. Infoblox ontdekte dat dit op grote schaal gebeurt.
Het aantal nieuwe, Oekraïne-gerelateerde domeinnamen is significant gestegen, zo blijkt uit een analyse door de Threat Intelligence Group van securityspecialist Infoblox. Sinds de Russische invasie van Oekraïne op 24 februari zijn meer dan meer dan twee keer zoveel domeinen voor het eerst waargenomen dan in de voorgaande week. Veel van deze websites zijn daadwerkelijk opgezet om Oekraïners te ondersteunen. Maar cybercriminelen maken gebruik van deze behoefte om te helpen en hebben sites opgezet die deze hulpacties nabootsen of spoofen om crytovaluta buit te maken. Daarnaast is recentelijk een spamcampagne geïdentificeerd die de Agent Tesla keylogger installeert.
Uitvoerige analyse
Infoblox heeft daarom een uitvoerige analyse gedaan, met een uitgebreide lijst van Indicators of Compromise (IoC) als resultaat. Omdat een aantal van deze IoC’s ook legitieme websites kunnen raken – zoals wanneer naar simpele externe formulieren wordt gelinkt – is tevens een handmatige analyse van tientallen nieuwe domeinnamen uitgevoerd. Daarbij werden aanvullende indicatoren geïdentificeerd om frauduleuze van legitieme websites te onderscheiden, zoals crypto-adressen zonder transactiegeschiedenis en claims van domeinnamen die niet publiekelijk te valideren zijn. Ook werden kruisverwijzingen met onderzoek van andere security-organisaties gevonden, evenals transacties naar andere recent geregistreerde domeinen en meerdere, recent opgezette websites die vanaf eenzelfde IP-adres worden gehost.
Naast frauduleuze websites ziet Infoblox ook e-mailcampagnes, die of leiden naar malafide websites of bijlagen met malware bevatten. Zo werd een week na het start van de invasie een malspam-campagne geïdentificeerd met een ZIP-bijlage die de Agent Tesla keylogger bevat.
Betere beveiliging
IT-teams kunnen hun netwerken op enkele manieren beter beveiligen tegen dit soort cybercrime. Zo kunnen zij het gebruik van Tor-netwerken verbieden voor niet-kritieke bedrijfsprocessen, API-verzoeken naar messaging- en CDN-diensten monitoren en browsers verbieden credentials en andere gevoelige informatie op te slaan. Verder gelden de reguliere security-adviezen.
Infoblox raadt iedereen aan om niet zomaar op links naar sites of bijlagen te klikken en de legitimiteit van de links vooraf te verifiëren. Sommige sites kunnen dienen als dekmantel voor criminele groeperingen, waarmee spyware op apparaten kan worden geïnstalleerd en persoonsgegevens kunnen worden verzameld. Voor zakelijke omgevingen geldt dat IT-teams extra waakzaam moeten zijn op verdacht gedrag binnen hun netwerken.
Criminelen hebben zich voorbereid
“Deze fraudepraktijken tonen aan dat cybercriminelen nauwlettend het nieuws in de gaten houden en bliksemsnel reageren als ze hun kans schoon zien”, zegt dr. Renee Burton, Senior Director Threat Intelligence bij Infoblox en voorheen werkzaam bij het Amerikaanse ministerie van Defensie. “Een aantal malafide hulpsites werd binnen een dag na de invasie geactiveerd. Verschillende domeinen werden in de weken ervoor geregistreerd, wat erop wijst dat criminelen zich hebben voorbereid. Hoewel de voorkeur uitging naar cryptovaluta, vroegen de criminelen ook om bijdragen via creditcards en bankrekeningen. Ook in de Agent Tesla-campagne gebruiken criminelen de crisis om gebruikersgegevens en financiële informatie te stelen.”