Diverse minacce chì utilizanu temi coronavirus cuntinueghjanu à apparisce in linea. È oghje vulemu sparte infurmazione nantu à una istanza interessante chì mostra chjaramente u desideriu di l'attaccanti di maximizà i so prufitti. A minaccia di a categuria "2-in-1" si chjama CoronaVirus. È l'infurmazione dettagliata nantu à u malware hè sottu u cut.
A sfruttamentu di u tema coronavirus hà iniziatu più di un mese fà. L'attaccanti anu apprufittatu di l'interessu di u publicu per l'infurmazioni nantu à a diffusione di a pandemia è e misure pigliate. Un gran numaru di sferenti informatori, applicazioni speciali è siti falsi sò apparsu in Internet chì cumprumette l'utilizatori, arrubbanu dati, è qualchì volta criptanu u cuntenutu di u dispusitivu è dumandanu un riscattu. Questu hè esattamente ciò chì face l'app mobile Coronavirus Tracker, bluccà l'accessu à u dispusitivu è esigendu un riscattu.
Un prublema separatu per a diffusione di malware era a cunfusione cù e misure di supportu finanziariu. In parechji paesi, u guvernu hà prumessu assistenza è sustegnu à i citadini ordinari è i rapprisentanti di l'imprese durante a pandemia. È quasi nimu ùn riceve sta assistenza simplice è trasparente. Inoltre, assai speranu chì seranu aiutati finanziariamente, ma ùn sanu micca s'ellu sò inclusi in a lista di quelli chì riceveranu sussidi di u guvernu o micca. E quelli chì anu digià ricivutu qualcosa da u statu, sò improbabile di ricusà aiutu supplementu.
Questu hè esattamente ciò chì l'attaccanti prufittanu. Mandanu lettere in nome di banche, regulatori finanziarii è autorità di a sicurità suciale, offrenu aiutu. Basta à seguità u ligame...
Ùn hè micca difficiule di guessà chì dopu à cliccà nantu à un indirizzu dubbitu, una persona finisci in un situ di phishing induve hè dumandatu à entre a so infurmazione finanziaria. A maiò spessu, simultaneamente cù l'apertura di un situ web, l'attaccanti pruvate d'infettà un urdinatore cù un prugramma Trojan destinatu à arrubbari dati persunali è, in particulare, infurmazione finanziaria. A volte un allegatu email include un schedariu prutettu da password chì cuntene "infurmazione impurtante nantu à cumu pudete uttene u sustegnu di u guvernu" in forma di spyware o ransomware.
Inoltre, recentemente i prugrammi di a categuria Infostealer sò ancu cuminciati à sparghje nantu à e rete suciale. Per esempiu, sè vo vulete scaricà una utilità legittima di Windows, dì wisecleaner[.]best, Infostealer pò esse bundanzatu cun ellu. Cliccà nantu à u ligame, l'utilizatore riceve un scaricatore chì scarica u malware cù l'utilità, è a fonte di scaricamentu hè sceltu secondu a cunfigurazione di l'urdinatore di a vittima.
Coronavirus 2022
Perchè avemu passatu tutta sta escursione ? U fattu hè chì u novu malware, chì i creatori ùn anu micca pensatu troppu longu à u nome, hà appena assorbutu tuttu u megliu è piacè a vittima cù dui tipi di attacchi à una volta. Da una parte, u prugramma di criptografia (CoronaVirus) hè caricatu, è da l'altru, KPOT infostealer.
Ransomware CoronaVirus
U ransomware stessu hè un picculu schedariu chì misura 44KB. A minaccia hè simplice ma efficace. U schedariu eseguibile si copia sottu un nome aleatoriu à %AppData%LocalTempvprdh.exe, è ancu stabilisce a chjave in u registru WindowsCurrentVersionRun. Una volta chì a copia hè posta, l'uriginale hè sguassatu.
Cum'è a maiò parte di i ransomware, CoronaVirus prova di sguassà e copie di salvezza lucali è disattiveghjanu l'ombra di i fugliali eseguendu i seguenti cumandamenti di u sistema:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Dopu, u software principia à criptà i schedari. U nome di ogni schedariu criptatu cuntene [email protected]__ à u principiu, è tuttu u restu ferma u listessu.
Inoltre, u ransomware cambia u nome di l'unità C in CoronaVirus.
In ogni cartulare chì stu virus hà sappiutu infettà, appare un schedariu CoronaVirus.txt, chì cuntene struzzioni di pagamentu. U riscattu hè solu 0,008 bitcoins o circa $ 60. Devu dì chì questu hè una figura assai modesta. È quì u puntu hè o chì l'autore ùn hà micca stabilitu u scopu di diventà assai riccu ... o, à u cuntrariu, hà decisu chì questu era una quantità eccellente chì ogni utilizatore sedutu in casa in autoisolamentu puderia pagà. Agree, se ùn pudete micca andà fora, allora $ 60 per avè u vostru urdinatore à travaglià di novu ùn hè micca tantu.
Inoltre, u novu Ransomware scrive un picculu schedariu eseguibile DOS in u cartulare di i schedarii tempuranee è u registra in u registru sottu a chjave BootExecute in modu chì l'istruzzioni di pagamentu seranu mostrate a prossima volta chì l'urdinatore hè riavviatu. Sicondu i paràmetri di u sistema, stu missaghju pò micca appare. Tuttavia, dopu chì a criptografia di tutti i schedari hè cumpleta, l'urdinatore riavvia automaticamente.
KPOT infostealer
Stu Ransomware vene ancu cù u spyware KPOT. Stu infostealer pò arrubbari i cookies è e password salvate da una varietà di navigatori, è ancu da ghjochi installati in un PC (cumpresu Steam), Jabber è Skype instant messengers. A so area d'interessu include ancu dettagli d'accessu per FTP è VPN. Dopu avè fattu u so travagliu è arrubatu tuttu ciò chì pò, a spia si sguasseghja cù u cumandimu seguente:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ùn hè più solu Ransomware
Stu attaccu, una volta ligatu à u tema di a pandemia di coronavirus, prova una volta di più chì u ransomware mudernu cerca di fà più cà solu criptà i vostri fugliali. In questu casu, a vittima corre u risicu d'avè arrubbatu e password à parechji siti è portali. Gruppi cibercriminali altamente organizzati, cum'è Maze è DoppelPaymer, sò diventati abili à aduprà dati persunali arrubati per ricattare l'utilizatori s'ellu ùn volenu micca pagà per a ricuperazione di u schedariu. Infatti, di colpu ùn sò micca cusì impurtanti, o l'utilizatore hà un sistema di salvezza chì ùn hè micca suscettibile à l'attacchi di Ransomware.
Malgradu a so simplicità, u novu CoronaVirus dimustra chjaramente chì i cibercriminali cercanu ancu di aumentà i so ingressi è cercanu mezzi supplementari di monetizazione. A strategia stessa ùn hè micca nova - dapoi parechji anni, l'analista Acronis anu osservatu attacchi di ransomware chì piantanu ancu troiani finanziarii in l'urdinatore di a vittima. Inoltre, in e cundizioni muderni, un attaccu di ransomware pò generalmente serve cum'è un sabotage per svià l'attenzione da u scopu principale di l'attaccanti - fuga di dati.
In un modu o in l'altru, a prutezzione contru tali minacce pò esse ottenuta solu cù un approcciu integratu à a difesa cibernetica. È i sistemi di sicurezza muderni bluccanu facilmente tali minacce (è i so cumpunenti) ancu prima di cumincià à aduprà algoritmi euristici chì utilizanu tecnulugia di apprendimentu di macchina. S'ellu hè integratu cù un sistema di salvezza di salvezza / disastru, i primi schedarii dannighjati saranu immediatamente restaurati.
Per quelli chì sò interessati, sume hash di schedari IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Solu l'utilizatori registrati ponu participà à l'indagine. , per piacè.
Avete mai sperimentatu a criptografia simultanea è u furtu di dati?
-
19,0%Iè 4
-
42,9%No 9
-
28,6%Avemu da esse più vigilanti6
-
9,5%Ùn aghju mancu pensatu à questu2
21 utilizatori anu vutatu. 5 utilizatori si sò astenuti.
Source: www.habr.com