Během uplynulých dvou měsíců zanechal COVID-19 zásadní stopu v doménovém prostoru internetu. Záznamy transparentnosti vydávání certifikátů od hlavních certifikačních autorit ukázaly významný nárůst počtu SSL certifikátů pro webové stránky používající ve svých názvech slova „corona“ nebo „covid“.
Pro představu, jak velká tato změna opravdu byla, jsme se podívali na záznamy o nových certifikátech se jmény jako „corona“ nebo „covid-19“ za posledních šest měsíců. Pro srovnání s obdobím před tím, než se pandemie stala globální záležitostí, jsme se zaměřili na stejné období v loňském roce, tedy září 2018 až březen 2019.
Ještě do ledna většina certifikátů, obsahujících výraz „corona“, odkazovala na lokalitu, službu nebo legitimní název značky. Měsíčně šlo průměrně o 288 aktivovaných certifikátů. Odkazy na „covid“ neexistovaly v žádných registracích certifikátů, ke kterým jsme do roku 2020 našli záznamy – jedinou výjimku tvoří doména patřící patří firmě COVID, výrobci A/V příslušenství z Arizony, který vlastní příslušnou .com doménu.
Pandemie tuto rovnováhu vychýlila. Od ledna 2020 došlo k exponenciálnímu růstu nových certifikátů s těmito výrazy, když se jejich počet oproti normálu téměř zdvojnásobil na 558 v tomto měsíci, a hned následně v únoru opět téměř zdvojnásobil na 868. V prvních dvou třetinách března pak bylo vystaveno přes 6 086 nových certifikátů nesoucích názvy s výrazy „covid“ a „corona“, což je téměř 20krát více než v předchozím roce.
Více než 65 % z těchto domén bylo automaticky registrováno zdarma prostřednictvím Let’s Encrypt a dalších 5 % využilo jako certifikační autoritu Cloudflare (Cloudflare poskytuje bezplatné SSL pro stránky využívající jeho síť poskytování obsahu).
V žádném případě nejsou všechny tyto weby škodlivé, ale mnoho z nich je podezřelých. Zejména proto, že zahrnují velké množství stránek, které jsou hromadně konfigurovány s použitím šablon webových stránek, domén konfigurovaných prostřednictvím nízkonákladových registrátorů nebo subdomén konfigurovaných na potenciálně kompromitovaných doménách.
42 578 nově registrovaných domén s výrazy covid nebo corona
S jedním z hostů, který slouží jako zázemí pro mnoho webových adres spojených s výrazem „covid-19“ a je propojený se službou nabízející bezplatné webové stránky a nízkonákladové registrace doménových jmen, bylo asociováno 11 322 doménových jmen. U těchto domén se zdá, že byly vytvořeny a registrovány pro certifikáty automaticky, jelikož jsou jejich názvy vytvořeny podle stejného vzoru (covid-19[klíčové slovo pro vyhledávání].com).
Hrubý počet doménových jmen, u kterých pozorujeme, že byly registrovány v souvislosti s pandemií COVID-19, ještě větší. Dosavadního vrcholu bylo dosaženo 20. března, když lidé registrovali 3 011 nových domén obsahujících text „covid“ nebo „corona“ v rámci čtyř největších domén nejvyšší úrovně (TLD), které monitorujeme (.com, .us, .org a .info). Od 8. února jsme až do půlnoci 24. března zaznamenali 42 578 nově registrovaných doménových jmen s výrazy covid nebo corona.
Zatímco některé z těchto domén mohou být zaregistrovány pro neziskové nebo dokonce prospěšné účely, mnoho z nich je jednoduše zaparkováno, zatímco jiné zobrazují základní, většinou prázdnou, webovou stránku jako příslib budoucího obsahu. Spolupráce na Slack kanálech a s našimi partnery v Cyber Threat Alliance zahrnuje také třídění užitečných a legitimních stránek, které mohly být registrovány skutečnými zdravotnickými organizacemi, od těch s černým humorem až po spamovací nebo aktivně škodících webů. Je těžké zjistit úmysl držitele registrované domény, pokud na ní není žádný obsah, ale jako příklad podivných domén uveďme třeba coronavirusshaquilleoneal[.]com.
60+ aktivně škodlivých domén
Sophos identifikoval více než 60 domén jako aktivně škodlivých, ale některé z těchto domén, od doby, kdy jsme je poprvé detekovali, svoji činnost ukončily. Následující konkrétní webové stránky byly spojeny se stahováním malwaru a jsou potenciálními indikátory kompromitování, ale pokud jde o škodlivé domény, jedná se pravděpodobně jen o špičkou ledovce:
corona-masr21.com
netflixcovid19s.com
chasecovid19v.com
chasecovid19t.com
chasecovid19s.com
corona-masr2.com
chase7-covid.com
masry-corona51.com
corona-virusapps.com
coronavirus-realtime.com
covid-19-gov.claims
corona-virus-map.net
corona-map-data.com
coronavirus-apps.com
childcarecorona.com
impots-covid19.com
corona-apps.com
coronaviruscovid19-information.com
coronations.usa.cc
Malware zneužívá obavy z COVID-19
Doposud jsme identifikovali několik rodin malwaru a potenciálně nežádoucích aplikací, které nějakým způsobem komunikují s doménami souvisejícími s COVID-19. Například tři různé verze malwaru DownloadGuide adware PUA a skupina škodlivých souborů používají web coronavirusstatus[.]doména pro hostování datového obsahu nebo jako C2 server.
Zahrnují:
- AutoIT dropper skript, který jsme identifikovali jako Troj/AutoIt-CYW.
- Corona.exe a isoburn.exe, ve kterých jsme identifikovali Troj/PWS-CJJ a Troj/Steal-JZ.
- Corona-virus-Map.com.exe (který jsme identifikovali jako Troj/MSIL-NZP).
- Soubor aut6C13.tmp (který jsme identifikovali jako malware Troj/PWS-CJJ).
Kromě komunikace s hostem se tato skupina malwaru připojuje k šifrovanému komunikačnímu API serveru služby Telegram.
–Patrick Müller, Senior Channel Account Executive pro Českou republiku a Slovensko, Sophos