Continuen apareixent en línia diverses amenaces que fan servir temes de coronavirus. I avui volem compartir informació sobre una instància interessant que demostra clarament el desig dels atacants de maximitzar els seus beneficis. L'amenaça de la categoria "2 en 1" s'anomena CoronaVirus. I la informació detallada sobre el programari maliciós està sota el tall.
L'explotació del tema del coronavirus va començar fa més d'un mes. Els atacants van aprofitar l'interès de la ciutadania per la informació sobre la propagació de la pandèmia i les mesures adoptades. A Internet ha aparegut un gran nombre d'informadors diferents, aplicacions especials i llocs falsos que comprometen els usuaris, roben dades i, de vegades, xifren el contingut del dispositiu i exigeixen un rescat. Això és exactament el que fa l'aplicació mòbil Coronavirus Tracker, bloquejant l'accés al dispositiu i exigint un rescat.
Un tema diferent per a la propagació de programari maliciós va ser la confusió amb les mesures de suport financer. En molts països, el govern ha promès assistència i suport als ciutadans corrents i als representants empresarials durant la pandèmia. I gairebé enlloc és rebre aquesta assistència senzilla i transparent. A més, molts esperen que els ajudin econòmicament, però no saben si estan inclosos a la llista dels que rebran subvencions públiques o no. I és poc probable que els que ja hagin rebut alguna cosa de l'estat es neguin ajuda addicional.
Això és exactament el que aprofiten els atacants. Envien cartes en nom de bancs, reguladors financers i autoritats de seguretat social, oferint ajuda. Només has de seguir l'enllaç...
No és difícil endevinar que després de fer clic en una adreça dubtosa, una persona acaba en un lloc de pesca on se li demana que introdueixi la seva informació financera. Molt sovint, simultàniament a l'obertura d'un lloc web, els atacants intenten infectar un ordinador amb un programa troià destinat a robar dades personals i, en particular, informació financera. De vegades, un fitxer adjunt de correu electrònic inclou un fitxer protegit amb contrasenya que conté "informació important sobre com podeu obtenir suport del govern" en forma de programari espia o ransomware.
A més, recentment també s'han començat a difondre a les xarxes socials programes de la categoria Infostealer. Per exemple, si voleu descarregar alguna utilitat legítima de Windows, per exemple, wisecleaner[.]best, és possible que Infostealer s'hi adjunti. En fer clic a l'enllaç, l'usuari rep un descarregador que descarrega programari maliciós juntament amb la utilitat, i la font de descàrrega es selecciona en funció de la configuració de l'ordinador de la víctima.
coronavirus 2022
Per què hem fet tota aquesta excursió? El cas és que el nou programari maliciós, els creadors del qual no van pensar massa en el nom, acaba d'absorbir tot el millor i delecta la víctima amb dos tipus d'atacs alhora. D'una banda, es carrega el programa de xifratge (CoronaVirus) i de l'altra, KPOT infostealer.
Ransomware CoronaVirus
El ransomware en si és un fitxer petit que mesura 44 KB. L'amenaça és senzilla però efectiva. El fitxer executable es copia sota un nom aleatori a %AppData%LocalTempvprdh.exe, i també estableix la clau al registre WindowsCurrentVersionRun. Un cop col·locada la còpia, s'elimina l'original.
Com la majoria de programari ransomware, CoronaVirus intenta suprimir les còpies de seguretat locals i desactivar l'ombra de fitxers executant les ordres del sistema següents:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
A continuació, el programari comença a xifrar fitxers. El nom de cada fitxer xifrat contindrà [email protected]__ al principi, i tota la resta segueix igual.
A més, el ransomware canvia el nom de la unitat C a CoronaVirus.
A cada directori que aquest virus va aconseguir infectar, apareix un fitxer CoronaVirus.txt, que conté instruccions de pagament. El rescat és de només 0,008 bitcoins o aproximadament 60 dòlars. He de dir que aquesta és una xifra molt modesta. I aquí la qüestió és que l'autor no es va proposar fer-se molt ric... o, per contra, va decidir que es tractava d'una quantitat excel·lent que podia pagar tot usuari assegut a casa i aïllat. D'acord, si no podeu sortir, 60 dòlars per tornar a funcionar el vostre ordinador no són tant.
A més, el nou Ransomware escriu un petit fitxer executable de DOS a la carpeta de fitxers temporals i el registra al registre amb la clau BootExecute perquè es mostrin les instruccions de pagament la propera vegada que es reiniciï l'ordinador. Depenent de la configuració del sistema, és possible que aquest missatge no aparegui. Tanmateix, un cop finalitzat el xifratge de tots els fitxers, l'ordinador es reiniciarà automàticament.
Robatori d'informació KPOT
Aquest ransomware també inclou programari espia KPOT. Aquest robatori d'informació pot robar galetes i contrasenyes desades d'una varietat de navegadors, així com de jocs instal·lats en un ordinador (inclòs Steam), missatgeria instantània Jabber i Skype. La seva àrea d'interès també inclou detalls d'accés per FTP i VPN. Després d'haver fet la seva feina i robat tot el que pot, l'espia s'esborra amb l'ordre següent:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ja no és només Ransomware
Aquest atac, una vegada més lligat al tema de la pandèmia de coronavirus, demostra una vegada més que el ransomware modern no només encripta els vostres fitxers. En aquest cas, la víctima corre el risc que se li roben contrasenyes de diversos llocs i portals. Grups cibercriminals altament organitzats, com ara Maze i DoppelPaymer, s'han convertit en experts en l'ús de dades personals robades per fer xantatge als usuaris si no volen pagar per la recuperació de fitxers. De fet, de sobte no són tan importants, o l'usuari té un sistema de còpia de seguretat que no és susceptible als atacs de Ransomware.
Malgrat la seva senzillesa, el nou CoronaVirus demostra clarament que els ciberdelinqüents també busquen augmentar els seus ingressos i busquen mitjans addicionals de monetització. L'estratègia en si no és nova: des de fa uns quants anys, els analistes d'Acronis estan observant atacs de ransomware que també planten troians financers a l'ordinador de la víctima. A més, en condicions modernes, un atac de ransomware generalment pot servir com a sabotatge per desviar l'atenció de l'objectiu principal dels atacants: la filtració de dades.
D'una manera o altra, la protecció contra aquestes amenaces només es pot aconseguir mitjançant un enfocament integrat de la ciberdefensa. I els sistemes de seguretat moderns bloquegen fàcilment aquestes amenaces (i els dos components) fins i tot abans que comencin a utilitzar algorismes heurístics que utilitzen tecnologies d'aprenentatge automàtic. Si s'integra amb un sistema de còpia de seguretat/recuperació de desastres, els primers fitxers danyats es restauraran immediatament.
Per als interessats, sumes hash dels fitxers IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Només els usuaris registrats poden participar en l'enquesta. si us plau.
Alguna vegada has experimentat encriptació simultània i robatori de dades?
-
19,0%Sí 4
-
42,9%No9
-
28,6%Haurem d'estar més vigilants6
-
9,5%No hi vaig ni pensar2
Han votat 21 usuaris. 5 usuaris es van abstenir.
Font: www.habr.com