Цифров коронавирус - комбинация от Ransomware и Infostealer

Различни заплахи, използващи теми за коронавирус, продължават да се появяват онлайн. И днес искаме да споделим информация за един интересен случай, който ясно демонстрира желанието на нападателите да увеличат максимално печалбите си. Заплахата от категорията „2 в 1“ нарича себе си CoronaVirus. И подробна информация за злонамерения софтуер е под разреза.

Експлоатацията на темата за коронавируса започна преди повече от месец. Нападателите се възползваха от обществения интерес към информацията за разпространението на пандемията и предприетите мерки. В интернет се появиха огромен брой различни информатори, специални приложения и фалшиви сайтове, които компрометират потребителите, крадат данни и понякога криптират съдържанието на устройството и изискват откуп. Точно това прави мобилното приложение Coronavirus Tracker, което блокира достъпа до устройството и изисква откуп.

Отделен проблем за разпространението на зловреден софтуер беше объркването с мерките за финансова подкрепа. В много държави правителството е обещало помощ и подкрепа на обикновените граждани и представители на бизнеса по време на пандемията. И почти никъде получаването на тази помощ не е просто и прозрачно. Освен това мнозина се надяват, че ще бъдат подпомогнати финансово, но не знаят дали са включени в списъка на тези, които ще получават държавни субсидии или не. И тези, които вече са получили нещо от държавата, едва ли ще откажат допълнителна помощ.

Точно от това се възползват нападателите. Те изпращат писма от името на банки, финансови регулатори и органи за социално осигуряване, предлагащи помощ. Просто трябва да следвате връзката...

Не е трудно да се досетите, че след щракване върху съмнителен адрес, човек попада на фишинг сайт, където е помолен да въведе финансовата си информация. Най-често, едновременно с отварянето на уебсайт, нападателите се опитват да заразят компютър с троянска програма, насочена към кражба на лични данни и по-специално на финансова информация. Понякога прикачен файл към имейл включва защитен с парола файл, който съдържа „важна информация за това как можете да получите подкрепа от правителството“ под формата на шпионски софтуер или рансъмуер.

Освен това наскоро програми от категорията Infostealer също започнаха да се разпространяват в социалните мрежи. Например, ако искате да изтеглите някаква легитимна помощна програма за Windows, да речем wisecleaner[.]best, Infostealer може да дойде в комплект с нея. Щраквайки върху връзката, потребителят получава програма за изтегляне, която изтегля злонамерен софтуер заедно с помощната програма, а източникът на изтегляне се избира в зависимост от конфигурацията на компютъра на жертвата.

Коронавирус 2022

Защо минахме през цялата тази екскурзия? Факт е, че новият злонамерен софтуер, чиито създатели не са мислили твърде дълго за името, току-що е погълнал всичко най-добро и зарадва жертвата с два вида атаки наведнъж. От едната страна се зарежда програмата за криптиране (CoronaVirus), а от другата KPOT infostealer.

Рансъмуер CoronaVirus

Самият ransomware е малък файл с размери 44KB. Заплахата е проста, но ефективна. Изпълнимият файл се копира под произволно име в %AppData%LocalTempvprdh.exe, а също така задава ключа в системния регистър WindowsCurrentVersionRun. След като копието бъде поставено, оригиналът се изтрива.

Подобно на повечето ransomware, CoronaVirus се опитва да изтрие локални резервни копия и да деактивира засенчването на файлове, като изпълнява следните системни команди:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

След това софтуерът започва да шифрова файлове. Името на всеки шифрован файл ще съдържа [email protected]__ в началото, а всичко останало остава същото.
Освен това рансъмуерът променя името на устройството C на CoronaVirus.

Във всяка директория, която този вирус успя да зарази, се появява файл CoronaVirus.txt, който съдържа инструкции за плащане. Откупът е само 0,008 bitcoin или приблизително $60. Трябва да кажа, че това е много скромна цифра. И тук въпросът е, че или авторът не си е поставил за цел да стане много богат... или напротив, той е решил, че това е отлична сума, която всеки потребител, който седи вкъщи в самоизолация, може да плати. Съгласете се, ако не можете да излезете навън, тогава 60 долара, за да накарате компютъра си да работи отново, не е толкова много.

В допълнение, новият Ransomware записва малък DOS изпълним файл в папката с временни файлове и го регистрира в системния регистър под ключа BootExecute, така че инструкциите за плащане да бъдат показани следващия път, когато компютърът се рестартира. В зависимост от системните настройки това съобщение може да не се появи. Въпреки това, след като криптирането на всички файлове приключи, компютърът автоматично ще се рестартира.

KPOT крадец на информация

Този рансъмуер се предлага и с шпионски софтуер KPOT. Този крадец на информация може да открадне бисквитки и запазени пароли от различни браузъри, както и от игри, инсталирани на компютър (включително Steam), Jabber и Skype месинджъри. Областта му на интерес също включва подробности за достъп до FTP и VPN. След като си е свършил работата и е откраднал всичко, което може, шпионинът се изтрива със следната команда:

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

Това вече не е само Ransomware

Тази атака, отново обвързана с темата за пандемията от коронавирус, още веднъж доказва, че модерният ransomware се стреми да прави повече от просто криптиране на вашите файлове. В този случай жертвата рискува да бъде открадната паролата за различни сайтове и портали. Силно организирани киберпрестъпни групи като Maze и DoppelPaymer са умели да използват откраднати лични данни, за да изнудват потребителите, ако не искат да плащат за възстановяване на файлове. Наистина изведнъж те не са толкова важни или потребителят има резервна система, която не е податлива на Ransomware атаки.

Въпреки своята простота, новият CoronaVirus ясно демонстрира, че киберпрестъпниците също се стремят да увеличат доходите си и търсят допълнителни средства за монетизация. Самата стратегия не е нова – от няколко години анализаторите на Acronis наблюдават атаки на ransomware, които също поставят финансови троянски коне на компютъра на жертвата. Освен това в съвременните условия атаката с рансъмуер може да служи като саботаж, за да се отклони вниманието от основната цел на нападателите - изтичане на данни.

По един или друг начин защитата срещу такива заплахи може да бъде постигната само чрез интегриран подход към киберзащитата. А съвременните системи за сигурност лесно блокират такива заплахи (и двата им компонента) дори преди да започнат да използват евристични алгоритми, използващи технологии за машинно обучение. Ако е интегриран със система за архивиране/възстановяване след бедствие, първите повредени файлове ще бъдат незабавно възстановени.

За тези, които се интересуват, хеш суми на IoC файлове:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

В анкетата могат да участват само регистрирани потребители. Впиши се, Моля те.

Изпитвали ли сте някога едновременно криптиране и кражба на данни?

• 19,0%да 4

• 42,9%No9

• 28,6%Ще трябва да сме по-бдителни6

• 9,5%Дори не се замислих за това2

21 потребители гласуваха. 5 потребители се въздържаха.

Източник: www.habr.com