Forskellige trusler, der bruger coronavirus-temaer, vises fortsat online. Og i dag ønsker vi at dele information om et interessant tilfælde, der tydeligt viser angribernes ønske om at maksimere deres overskud. Truslen fra kategorien "2-i-1" kalder sig CoronaVirus. Og detaljerede oplysninger om malware er under skæring.
Udnyttelsen af coronavirus-temaet begyndte for mere end en måned siden. Angriberne udnyttede offentlighedens interesse i information om spredningen af pandemien og de foranstaltninger, der blev truffet. Et stort antal forskellige informanter, specielle applikationer og falske sider er dukket op på internettet, der kompromitterer brugere, stjæler data og nogle gange krypterer indholdet af enheden og kræver løsesum. Dette er præcis, hvad Coronavirus Tracker-mobilappen gør, blokerer adgangen til enheden og kræver løsesum.
Et særskilt problem for spredningen af malware var forvirringen med finansielle støtteforanstaltninger. I mange lande har regeringen lovet hjælp og støtte til almindelige borgere og erhvervsrepræsentanter under pandemien. Og næsten ingen steder er det nemt og gennemsigtigt at modtage denne hjælp. Desuden håber mange, at de vil blive hjulpet økonomisk, men ved ikke, om de er med på listen over dem, der får statstilskud eller ej. Og dem, der allerede har modtaget noget fra staten, vil næppe nægte yderligere hjælp.
Det er præcis, hvad angribere udnytter. De sender breve på vegne af banker, finansielle tilsynsmyndigheder og sociale sikringsmyndigheder og tilbyder hjælp. Du skal bare følge linket...
Det er ikke svært at gætte, at efter at have klikket på en tvivlsom adresse, ender en person på et phishing-site, hvor han bliver bedt om at indtaste sine økonomiske oplysninger. Oftest, samtidig med at et websted åbnes, forsøger angribere at inficere en computer med et trojansk program, der har til formål at stjæle personlige data og især økonomiske oplysninger. Nogle gange indeholder en e-mail-vedhæftet fil en adgangskodebeskyttet fil, der indeholder "vigtige oplysninger om, hvordan du kan få statsstøtte" i form af spyware eller ransomware.
Derudover er programmer fra Infostealer-kategorien for nylig også begyndt at spredes på sociale netværk. For eksempel, hvis du vil downloade et eller andet legitimt Windows-værktøj, siger wisecleaner[.]best, Infostealer kan meget vel komme sammen med det. Ved at klikke på linket modtager brugeren en downloader, der downloader malware sammen med værktøjet, og downloadkilden vælges afhængigt af konfigurationen af ofrets computer.
Coronavirus 2022
Hvorfor gik vi igennem hele denne udflugt? Faktum er, at den nye malware, hvis skabere ikke tænkte så længe over navnet, har bare absorberet alt det bedste og glæder offeret med to typer angreb på én gang. På den ene side er krypteringsprogrammet (CoronaVirus) indlæst, og på den anden side KPOT infostealer.
CoronaVirus ransomware
Selve ransomwaren er en lille fil, der måler 44KB. Truslen er enkel, men effektiv. Den eksekverbare fil kopierer sig selv under et tilfældigt navn til %AppData%LocalTempvprdh.exe, og indstiller også nøglen i registreringsdatabasen WindowsCurrentVersionRun. Når kopien er placeret, slettes originalen.
Som de fleste ransomware forsøger CoronaVirus at slette lokale sikkerhedskopier og deaktivere filskygge ved at køre følgende systemkommandoer:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Dernæst begynder softwaren at kryptere filer. Navnet på hver krypteret fil vil indeholde [email protected]__ i begyndelsen, og alt andet forbliver det samme.
Derudover ændrer ransomware navnet på C-drevet til CoronaVirus.
I hver mappe, som denne virus formåede at inficere, vises en CoronaVirus.txt-fil, som indeholder betalingsinstruktioner. Løsesummen er kun 0,008 bitcoins eller cirka $60. Jeg må sige, det er et meget beskedent tal. Og her er pointen enten, at forfatteren ikke satte sig som mål at blive meget rig... eller tværtimod besluttede han, at det var et glimrende beløb, som enhver bruger, der sidder hjemme i selvisolation, kunne betale. Enig, hvis du ikke kan gå udenfor, så er $60 for at få din computer til at fungere igen ikke så meget.
Derudover skriver den nye Ransomware en lille DOS-eksekverbar fil i mappen med midlertidige filer og registrerer den i registreringsdatabasen under BootExecute-nøglen, så betalingsinstruktioner vil blive vist næste gang computeren genstartes. Afhængigt af systemindstillingerne vises denne meddelelse muligvis ikke. Men når kryptering af alle filer er fuldført, genstarter computeren automatisk.
KPOT infostealer
Denne Ransomware kommer også med KPOT spyware. Denne infostealer kan stjæle cookies og gemte adgangskoder fra en række forskellige browsere, såvel som fra spil installeret på en pc (inklusive Steam), Jabber og Skype instant messengers. Hans interesseområde inkluderer også adgangsoplysninger til FTP og VPN. Efter at have gjort sit arbejde og stjålet alt, hvad den kan, sletter spionen sig selv med følgende kommando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Det er ikke kun Ransomware længere
Dette angreb, endnu en gang knyttet til temaet for coronavirus-pandemien, beviser endnu en gang, at moderne ransomware søger at gøre mere end blot at kryptere dine filer. I dette tilfælde risikerer offeret at få stjålet adgangskoder til forskellige sider og portaler. Højt organiserede cyberkriminelle grupper som Maze og DoppelPaymer er blevet dygtige til at bruge stjålne personlige data til at afpresse brugere, hvis de ikke ønsker at betale for filgendannelse. Faktisk er de pludselig ikke så vigtige, eller brugeren har et backup-system, der ikke er modtageligt for Ransomware-angreb.
På trods af sin enkelhed viser det nye CoronaVirus tydeligt, at cyberkriminelle også søger at øge deres indkomst og leder efter yderligere midler til indtægtsgenerering. Strategien i sig selv er ikke ny - i flere år nu har Acronis-analytikere observeret ransomware-angreb, der også planter økonomiske trojanske heste på ofrets computer. Desuden kan et ransomware-angreb under moderne forhold generelt tjene som en sabotage for at aflede opmærksomheden fra angribernes hovedmål - datalækage.
På en eller anden måde kan beskyttelse mod sådanne trusler kun opnås ved hjælp af en integreret tilgang til cyberforsvar. Og moderne sikkerhedssystemer blokerer nemt sådanne trusler (og begge deres komponenter), selv før de begynder at bruge heuristiske algoritmer ved hjælp af maskinlæringsteknologier. Hvis de integreres med et backup/katastrofegendannelsessystem, vil de første beskadigede filer blive gendannet med det samme.
For de interesserede, hash-summer af IoC-filer:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Kun registrerede brugere kan deltage i undersøgelsen. , Vær venlig.
Har du nogensinde oplevet samtidig kryptering og datatyveri?
-
19,0 %Ja 4
-
42,9 %Nr 9
-
28,6 %Vi bliver nødt til at være mere på vagt6
-
9,5 %Jeg tænkte ikke engang over det 2
21 brugere stemte. 5 brugere undlod at stemme.
Kilde: www.habr.com