فيروس كورونا الرقمي - مزيج من برامج الفدية وسرقة المعلومات

تستمر التهديدات المختلفة التي تستخدم موضوعات فيروس كورونا في الظهور عبر الإنترنت. واليوم نريد مشاركة المعلومات حول مثال واحد مثير للاهتمام يوضح بوضوح رغبة المهاجمين في زيادة أرباحهم إلى الحد الأقصى. التهديد من فئة "2 في 1" يطلق على نفسه اسم CoronaVirus. والمعلومات التفصيلية حول البرامج الضارة قيد الخفض.

بدأ استغلال موضوع فيروس كورونا منذ أكثر من شهر. واستغل المهاجمون اهتمام الجمهور بالمعلومات حول انتشار الوباء والإجراءات المتخذة. ظهر على شبكة الإنترنت عدد كبير من المخبرين المختلفين والتطبيقات الخاصة والمواقع المزيفة التي تعرض المستخدمين للخطر وتسرق البيانات، وفي بعض الأحيان تقوم بتشفير محتويات الجهاز وتطلب فدية. وهذا هو بالضبط ما يفعله تطبيق الهاتف المحمول Corona Tracker، حيث يمنع الوصول إلى الجهاز ويطالب بفدية.

كانت المشكلة المنفصلة لانتشار البرامج الضارة هي الارتباك مع تدابير الدعم المالي. وفي العديد من البلدان، وعدت الحكومة بتقديم المساعدة والدعم للمواطنين العاديين وممثلي الأعمال أثناء الوباء. ولا يوجد مكان تقريبًا يتلقى هذه المساعدة بطريقة بسيطة وشفافة. علاوة على ذلك، يأمل الكثيرون أن يتم مساعدتهم ماليا، لكنهم لا يعرفون ما إذا كانوا مدرجين في قائمة المستفيدين من الدعم الحكومي أم لا. وأولئك الذين تلقوا بالفعل شيئًا من الدولة من غير المرجح أن يرفضوا المساعدة الإضافية.

وهذا هو بالضبط ما يستغله المهاجمون. يرسلون رسائل نيابة عن البنوك والجهات التنظيمية المالية وسلطات الضمان الاجتماعي، لعرض المساعدة. ما عليك سوى اتباع الرابط...

ليس من الصعب تخمين أنه بعد النقر على عنوان مشكوك فيه، ينتهي الأمر بالشخص إلى موقع تصيد حيث يُطلب منه إدخال معلوماته المالية. في أغلب الأحيان، بالتزامن مع فتح موقع ويب، يحاول المهاجمون إصابة جهاز كمبيوتر ببرنامج طروادة يهدف إلى سرقة البيانات الشخصية، وعلى وجه الخصوص، المعلومات المالية. في بعض الأحيان يتضمن مرفق البريد الإلكتروني ملفًا محميًا بكلمة مرور يحتوي على "معلومات مهمة حول كيفية الحصول على الدعم الحكومي" في شكل برامج تجسس أو برامج فدية.

بالإضافة إلى ذلك، بدأت مؤخرًا برامج من فئة Infostealer بالانتشار على الشبكات الاجتماعية. على سبيل المثال، إذا كنت ترغب في تنزيل بعض أدوات Windows الشرعية، مثل Wisecleaner[.]best، فقد يأتي Infostealer مرفقًا معها. من خلال النقر على الرابط، يتلقى المستخدم برنامج تنزيل يقوم بتنزيل البرامج الضارة مع الأداة المساعدة، ويتم تحديد مصدر التنزيل اعتمادًا على تكوين جهاز الكمبيوتر الخاص بالضحية.

فيروس كورونا 2022

لماذا مررنا بهذه الرحلة بأكملها؟ الحقيقة هي أن البرمجيات الخبيثة الجديدة، التي لم يفكر مبتكروها طويلاً في الاسم، قد استوعبت للتو كل التوفيق وأسعدت الضحية بنوعين من الهجمات في وقت واحد. من ناحية، يتم تحميل برنامج التشفير (CoronaVirus)، ومن ناحية أخرى، يتم تحميل برنامج KPOT infostealer.

CoronaVirus Ransomware

برنامج الفدية نفسه عبارة عن ملف صغير يبلغ حجمه 44 كيلو بايت. التهديد بسيط ولكنه فعال. ينسخ الملف القابل للتنفيذ نفسه تحت اسم عشوائي إلى %AppData%LocalTempvprdh.exe، ويقوم أيضًا بتعيين المفتاح في التسجيل WindowsCurrentVersionRun. بمجرد وضع النسخة، يتم حذف الأصل.

مثل معظم برامج الفدية، يحاول CoronaVirus حذف النسخ الاحتياطية المحلية وتعطيل تظليل الملفات عن طريق تشغيل أوامر النظام التالية:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

بعد ذلك، يبدأ البرنامج في تشفير الملفات. سيحتوي على اسم كل ملف مشفر [email protected]__ في البداية، وكل شيء آخر يبقى على حاله.
بالإضافة إلى ذلك، يقوم برنامج الفدية بتغيير اسم محرك الأقراص C إلى CoronaVirus.

وفي كل دليل تمكن هذا الفيروس من إصابته، يظهر ملف CoronaVirus.txt، الذي يحتوي على تعليمات الدفع. تبلغ الفدية 0,008 بيتكوين فقط أو ما يقرب من 60 دولارًا. يجب أن أقول أن هذا رقم متواضع للغاية. وهنا النقطة المهمة هي إما أن المؤلف لم يضع لنفسه هدف الثراء الشديد... أو على العكس من ذلك، قرر أن هذا مبلغ ممتاز يمكن أن يدفعه كل مستخدم يجلس في المنزل في عزلة ذاتية. أوافق، إذا لم تتمكن من الخروج، فإن 60 دولارًا لتشغيل جهاز الكمبيوتر الخاص بك مرة أخرى ليس كثيرًا.

بالإضافة إلى ذلك، يقوم برنامج Ransomware الجديد بكتابة ملف DOS صغير قابل للتنفيذ في مجلد الملفات المؤقتة وتسجيله في السجل تحت مفتاح BootExecute بحيث تظهر تعليمات الدفع في المرة التالية التي يتم فيها إعادة تشغيل الكمبيوتر. اعتمادا على إعدادات النظام، قد لا تظهر هذه الرسالة. ومع ذلك، بعد اكتمال تشفير جميع الملفات، سيتم إعادة تشغيل الكمبيوتر تلقائيًا.

سرقة معلومات KPOT

يأتي برنامج الفدية هذا أيضًا مع برنامج تجسس KPOT. يمكن لسرقة المعلومات هذه سرقة ملفات تعريف الارتباط وكلمات المرور المحفوظة من مجموعة متنوعة من المتصفحات، وكذلك من الألعاب المثبتة على جهاز الكمبيوتر (بما في ذلك Steam) وJabber وSkype المراسلة الفورية. يتضمن مجال اهتمامه أيضًا تفاصيل الوصول إلى FTP وVPN. بعد أن قام الجاسوس بعمله وسرق كل ما في وسعه، قام بحذف نفسه باستخدام الأمر التالي:

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

لم يعد الأمر يقتصر على برامج الفدية فقط

هذا الهجوم، المرتبط مرة أخرى بموضوع جائحة فيروس كورونا، يثبت مرة أخرى أن برامج الفدية الحديثة تسعى إلى القيام بأكثر من مجرد تشفير ملفاتك. في هذه الحالة، يتعرض الضحية لخطر سرقة كلمات المرور الخاصة بالمواقع والبوابات المختلفة. أصبحت مجموعات المجرمين الإلكترونيين عالية التنظيم مثل Maze وDoppelPaymer ماهرة في استخدام البيانات الشخصية المسروقة لابتزاز المستخدمين إذا كانوا لا يريدون الدفع مقابل استرداد الملفات. في الواقع، فجأة لم تعد مهمة جدًا، أو أصبح لدى المستخدم نظام نسخ احتياطي غير عرضة لهجمات Ransomware.

على الرغم من بساطته، يوضح فيروس كورونا الجديد بوضوح أن مجرمي الإنترنت يسعون أيضًا إلى زيادة دخلهم ويبحثون عن وسائل إضافية لتحقيق الدخل. الاستراتيجية في حد ذاتها ليست جديدة، فمنذ عدة سنوات، كان محللو Acronis يراقبون هجمات برامج الفدية التي تزرع أيضًا أحصنة طروادة المالية على كمبيوتر الضحية. علاوة على ذلك، في الظروف الحديثة، يمكن أن يكون هجوم برامج الفدية بمثابة عملية تخريبية من أجل صرف الانتباه عن الهدف الرئيسي للمهاجمين - وهو تسرب البيانات.

وبطريقة أو بأخرى، لا يمكن تحقيق الحماية ضد مثل هذه التهديدات إلا باستخدام نهج متكامل للدفاع السيبراني. وتمنع أنظمة الأمان الحديثة بسهولة مثل هذه التهديدات (وكلا مكوناتها) حتى قبل أن تبدأ في استخدام الخوارزميات الإرشادية باستخدام تقنيات التعلم الآلي. إذا تم دمجه مع نظام النسخ الاحتياطي/الاسترداد في حالات الكوارث، فسيتم استعادة الملفات التالفة الأولى على الفور.

للمهتمين، مبالغ التجزئة لملفات IoC:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. تسجيل الدخول، من فضلك.

هل سبق لك أن واجهت التشفير المتزامن وسرقة البيانات؟

• 19,0%نعم 4

• 42,9%رقم 9

• 28,6%علينا أن نكون أكثر يقظة 6

• 9,5%لم أفكر في ذلك حتى 2

صوّت 21 مستخدمًا. امتنع 5 مستخدما عن التصويت.

المصدر: www.habr.com