Na internetu se stále objevují různé hrozby využívající témata koronaviru. A dnes se chceme podělit o informace o jedné zajímavé instanci, která jasně demonstruje touhu útočníků maximalizovat své zisky. Hrozba z kategorie „2 v 1“ si říká CoronaVirus. A pod řezem jsou podrobné informace o malwaru.
Využití tématu koronaviru začalo před více než měsícem. Útočníci využili zájmu veřejnosti o informace o šíření pandemie a přijatých opatřeních. Na internetu se objevilo obrovské množství různých informátorů, speciálních aplikací a falešných stránek, které kompromitují uživatele, kradou data a někdy zašifrují obsah zařízení a požadují výkupné. Přesně to dělá mobilní aplikace Coronavirus Tracker, která blokuje přístup k zařízení a požaduje výkupné.
Samostatným problémem šíření malwaru byla záměna s opatřeními finanční podpory. V mnoha zemích vláda přislíbila pomoc a podporu běžným občanům a zástupcům podniků během pandemie. A téměř nikde není přijímání této pomoci jednoduché a transparentní. Mnozí navíc doufají, že se jim pomůže finančně, ale nevědí, zda jsou zařazeni v seznamu těch, kteří dostanou státní dotace, či nikoli. A ti, kteří již od státu něco dostali, další pomoc pravděpodobně odmítnou.
To je přesně to, čeho útočníci využívají. Posílají dopisy jménem bank, finančních regulátorů a orgánů sociálního zabezpečení a nabízejí pomoc. Stačí následovat odkaz...
Není těžké uhodnout, že po kliknutí na pochybnou adresu člověk skončí na phishingovém webu, kde je požádán o zadání svých finančních údajů. Nejčastěji se útočníci současně s otevřením webu snaží infikovat počítač trojským koněm, jehož cílem je odcizit osobní údaje a zejména finanční informace. Někdy příloha e-mailu obsahuje soubor chráněný heslem, který obsahuje „důležité informace o tom, jak můžete získat vládní podporu“ ve formě spywaru nebo ransomwaru.
V poslední době se navíc na sociálních sítích začínají šířit také pořady z kategorie Infozrádce. Například, pokud si chcete stáhnout nějaký legitimní nástroj Windows, řekněme wisecleaner[.]nejlépe, Infostealer může být součástí balení. Kliknutím na odkaz uživatel obdrží downloader, který stáhne malware spolu s nástrojem, a zdroj stahování je vybrán v závislosti na konfiguraci počítače oběti.
Koronavirus 2022
Proč jsme celou tuto exkurzi absolvovali? Faktem je, že nový malware, jehož tvůrci nad názvem příliš nepřemýšleli, právě vstřebal vše nejlepší a potěší oběť hned dvěma typy útoků najednou. Na jedné straně je načten šifrovací program (CoronaVirus) a na druhé KPOT infostealer.
CoronaVirus ransomware
Samotný ransomware je malý soubor o velikosti 44 kB. Hrozba je jednoduchá, ale účinná. Spustitelný soubor se zkopíruje pod náhodným názvem do %AppData%LocalTempvprdh.exe
a také nastaví klíč v registru WindowsCurrentVersionRun
. Po vložení kopie je originál odstraněn.
Stejně jako většina ransomwaru se CoronaVirus pokouší odstranit místní zálohy a zakázat stínování souborů spuštěním následujících systémových příkazů:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Dále software začne šifrovat soubory. Název každého zašifrovaného souboru bude obsahovat [email protected]__
na začátku a vše ostatní zůstává stejné.
Ransomware navíc změní název disku C na CoronaVirus.
V každém adresáři, který se tomuto viru podařilo napadnout, se objeví soubor CoronaVirus.txt, který obsahuje pokyny k platbě. Výkupné je pouze 0,008 bitcoinu nebo přibližně 60 $. Musím říct, že je to velmi skromný údaj. A tady jde buď o to, že si autor nedal za cíl hodně zbohatnout... nebo naopak usoudil, že jde o vynikající částku, kterou může zaplatit každý uživatel sedící doma v izolaci. Souhlasíte, pokud nemůžete jít ven, pak 60 dolarů, aby váš počítač znovu fungoval, není tolik.
Kromě toho nový Ransomware zapíše malý DOS spustitelný soubor do složky dočasných souborů a zaregistruje jej do registru pod klíčem BootExecute, takže pokyny k platbě se zobrazí při příštím restartu počítače. V závislosti na nastavení systému se tato zpráva nemusí zobrazit. Po dokončení šifrování všech souborů se však počítač automaticky restartuje.
Infozrádce KPOT
Tento Ransomware také přichází se spywarem KPOT. Tento infostealer může krást soubory cookie a uložená hesla z různých prohlížečů a také z her nainstalovaných na PC (včetně Steamu), instant messengerů Jabber a Skype. Oblast jeho zájmu zahrnuje také přístupové údaje pro FTP a VPN. Poté, co špión vykonal svou práci a ukradl vše, co mohl, se smaže pomocí následujícího příkazu:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Už to není jen Ransomware
Tento útok, opět spojený s tématem pandemie koronaviru, opět dokazuje, že moderní ransomware se snaží dělat víc než jen šifrovat vaše soubory. V tomto případě se oběť vystavuje riziku odcizení hesel k různým webům a portálům. Vysoce organizované kyberzločinecké skupiny jako Maze a DoppelPaymer se staly zběhlými ve využívání ukradených osobních údajů k vydírání uživatelů, pokud nechtějí platit za obnovu souborů. Ve skutečnosti najednou nejsou tak důležité, nebo má uživatel záložní systém, který není náchylný k útokům Ransomware.
Navzdory své jednoduchosti nový CoronaVirus jasně ukazuje, že kyberzločinci se také snaží zvýšit své příjmy a hledají další způsoby monetizace. Strategie sama o sobě není nová – analytici společnosti Acronis již několik let pozorují ransomwarové útoky, které také zasazují finanční trojské koně do počítače oběti. Navíc v moderních podmínkách může útok ransomwaru obecně sloužit jako sabotáž s cílem odvést pozornost od hlavního cíle útočníků – úniku dat.
Tak či onak, ochrany proti takovým hrozbám lze dosáhnout pouze pomocí integrovaného přístupu ke kybernetické obraně. A moderní bezpečnostní systémy snadno blokují takové hrozby (a obě jejich součásti) ještě předtím, než začnou používat heuristické algoritmy využívající technologie strojového učení. Pokud je integrován se systémem zálohování/obnovy po havárii, první poškozené soubory budou okamžitě obnoveny.
Pro zájemce, hash součty souborů IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé.
Zažili jste někdy současné šifrování a krádež dat?
-
19,0%Ano 4
-
42,9%No9
-
28,6%Budeme muset být ostražitější6
-
9,5%ani mě to nenapadlo 2
Hlasovalo 21 uživatelů. 5 uživatelů se zdrželo hlasování.
Zdroj: www.habr.com