Na mreži se i dalje pojavljuju razne prijetnje koje koriste teme o koronavirusu. I danas želimo podijeliti informacije o jednom zanimljivom primjeru koji jasno pokazuje želju napadača da maksimiziraju svoj profit. Prijetnja iz kategorije “2-u-1” sebe naziva CoronaVirus. A detaljne informacije o zlonamjernom softveru su ispod reza.
Eksploatacija teme koronavirusa počela je prije više od mjesec dana. Napadači su iskoristili interes javnosti za informacije o širenju pandemije i preduzetim mjerama. Na internetu se pojavio ogroman broj različitih informatora, specijalnih aplikacija i lažnih sajtova koji kompromituju korisnike, kradu podatke, a ponekad i šifruju sadržaj uređaja i traže otkupninu. Upravo to radi mobilna aplikacija Coronavirus Tracker, blokirajući pristup uređaju i zahtijevajući otkupninu.
Posebno pitanje za širenje zlonamjernog softvera bila je zabuna sa mjerama finansijske podrške. U mnogim zemljama, vlade su obećale pomoć i podršku običnim građanima i poslovnim predstavnicima tokom pandemije. I gotovo nigdje ova pomoć nije jednostavna i transparentna. Štaviše, mnogi se nadaju da će im se pomoći novčano, ali ne znaju da li su uvršteni na listu onih koji će dobiti državne subvencije ili ne. A oni koji su već dobili nešto od države teško da će odbiti dodatnu pomoć.
To je upravo ono što napadači iskorištavaju. Oni šalju pisma u ime banaka, finansijskih regulatora i organa socijalnog osiguranja, nudeći pomoć. Potrebno je samo da pratite link...
Nije teško pretpostaviti da nakon klika na sumnjivu adresu osoba završi na phishing stranici gdje se od njega traži da unese svoje finansijske podatke. Najčešće, istovremeno s otvaranjem web stranice, napadači pokušavaju zaraziti računar trojanskim programom koji ima za cilj krađu ličnih podataka, a posebno finansijskih informacija. Ponekad privitak e-pošte uključuje datoteku zaštićenu lozinkom koja sadrži “važne informacije o tome kako možete dobiti državnu podršku” u obliku špijunskog softvera ili ransomwarea.
Osim toga, odnedavno su se društvenim mrežama počeli širiti i programi iz kategorije Infostealer. Na primjer, ako želite da preuzmete neki legitimni Windows uslužni program, recimo wisecleaner[.]best, Infostealer bi mogao doći u paketu s njim. Klikom na link korisnik dobija program za preuzimanje koji preuzima malver zajedno sa uslužnim programom, a izvor preuzimanja se bira u zavisnosti od konfiguracije računara žrtve.
Koronavirus 2022
Zašto smo prošli kroz cijelu ovu ekskurziju? Činjenica je da je novi zlonamjerni softver, čiji kreatori nisu dugo razmišljali o imenu, upravo upio sve najbolje i oduševljava žrtvu s dvije vrste napada odjednom. S jedne strane je učitan program za šifrovanje (CoronaVirus), a sa druge KPOT infostealer.
CoronaVirus ransomware
Sam ransomware je mali fajl veličine 44 KB. Prijetnja je jednostavna, ali efikasna. Izvršni fajl se kopira pod nasumičnim imenom u %AppData%LocalTempvprdh.exe, a također postavlja ključ u registratoru WindowsCurrentVersionRun. Kada se kopija postavi, original se briše.
Kao i većina ransomwarea, CoronaVirus pokušava izbrisati lokalne sigurnosne kopije i onemogućiti sjenčanje datoteka pokretanjem sljedećih sistemskih naredbi:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Zatim, softver počinje šifrirati datoteke. Naziv svake šifrirane datoteke će sadržavati [email protected]__ na početku, a sve ostalo ostaje isto.
Osim toga, ransomware mijenja ime C diska u CoronaVirus.
U svakom direktoriju koji je ovaj virus uspio zaraziti pojavljuje se datoteka CoronaVirus.txt koja sadrži upute za plaćanje. Otkupnina iznosi samo 0,008 bitcoina ili otprilike 60 dolara. Moram reći da je ovo vrlo skromna brojka. I ovdje je stvar ili u tome da autor sebi nije zadao cilj da se jako obogati... ili je, naprotiv, odlučio da je to odličan iznos koji svaki korisnik koji sjedi kod kuće u samoizolaciji može platiti. Slažete se, ako ne možete da izađete napolje, onda 60 dolara da vaš računar ponovo radi nije toliko.
Pored toga, novi Ransomware upisuje malu izvršnu datoteku DOS-a u fasciklu privremenih datoteka i registruje je u registratoru pod BootExecute ključem tako da će se uputstva za plaćanje prikazati sledeći put kada se računar ponovo pokrene. Ovisno o postavkama sistema, ova poruka se možda neće pojaviti. Međutim, nakon što se šifriranje svih datoteka završi, računar će se automatski ponovo pokrenuti.
KPOT infostealer
Ovaj Ransomware takođe dolazi sa KPOT špijunskim softverom. Ovaj infostealer može ukrasti kolačiće i sačuvane lozinke iz raznih pretraživača, kao i iz igrica instaliranih na računaru (uključujući Steam), Jabber i Skype instant messengere. Njegovo područje interesovanja uključuje i detalje pristupa za FTP i VPN. Nakon što je obavio svoj posao i ukrao sve što može, špijun se briše sljedećom komandom:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
To više nije samo Ransomware
Ovaj napad, još jednom vezan za temu pandemije koronavirusa, još jednom dokazuje da moderni ransomware nastoji učiniti više od samo šifriranja vaših datoteka. U ovom slučaju, žrtva rizikuje da joj ukradu lozinke za razne stranice i portale. Visoko organizirane cyber kriminalne grupe kao što su Maze i DoppelPaymer postale su vješte u korištenju ukradenih osobnih podataka za ucjenu korisnika ako ne žele platiti oporavak datoteka. Zaista, odjednom nisu toliko važni ili korisnik ima rezervni sistem koji nije podložan Ransomware napadima.
Unatoč svojoj jednostavnosti, novi CoronaVirus jasno pokazuje da cyber kriminalci također nastoje povećati svoje prihode i traže dodatna sredstva za monetizaciju. Sama strategija nije nova – analitičari Acronis-a već nekoliko godina promatraju napade ransomware-a koji također postavljaju finansijske trojance na žrtvin računar. Štaviše, u savremenim uslovima, napad ransomware-a generalno može poslužiti kao sabotaža kako bi se skrenula pažnja sa glavnog cilja napadača - curenja podataka.
Na ovaj ili onaj način, zaštita od takvih prijetnji može se postići samo integriranim pristupom sajber odbrani. A moderni sigurnosni sistemi lako blokiraju takve prijetnje (i obje njihove komponente) čak i prije nego što počnu koristiti heurističke algoritme koristeći tehnologije strojnog učenja. Ako se integriše sa backup/disaster recovery sistemom, prve oštećene datoteke će biti odmah vraćene.
Za one koji su zainteresovani, hash sume IoC fajlova:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Samo registrovani korisnici mogu učestvovati u anketi. molim.
Jeste li ikada iskusili istovremenu enkripciju i krađu podataka?
-
19,0%Da4
-
42,9%No9
-
28,6%Morat ćemo biti oprezniji6
-
9,5%Nisam ni razmišljao o tome2
Glasao je 21 korisnik. 5 korisnika je bilo uzdržano.
izvor: www.habr.com