Siguen apareciendo en línea varias amenazas que utilizan temas de coronavirus. Y hoy queremos compartir información sobre un caso interesante que demuestra claramente el deseo de los atacantes de maximizar sus ganancias. La amenaza de la categoría "2 en 1" se llama CoronaVirus. Y debajo del corte encontrará información detallada sobre el malware.
La explotación del tema del coronavirus comenzó hace más de un mes. Los atacantes se aprovecharon del interés del público por la información sobre la propagación de la pandemia y las medidas adoptadas. En Internet ha aparecido una gran cantidad de informantes diferentes, aplicaciones especiales y sitios falsos que comprometen a los usuarios, roban datos y, en ocasiones, cifran el contenido del dispositivo y exigen un rescate. Esto es exactamente lo que hace la aplicación móvil Coronavirus Tracker: bloquea el acceso al dispositivo y exige un rescate.
Otro problema relacionado con la propagación de malware fue la confusión con las medidas de apoyo financiero. En muchos países, el gobierno ha prometido asistencia y apoyo a los ciudadanos comunes y representantes de las empresas durante la pandemia. Y en casi ningún lugar recibir esta asistencia es sencillo y transparente. Además, muchos esperan recibir ayuda económica, pero no saben si están incluidos en la lista de quienes recibirán subvenciones del gobierno o no. Y es poco probable que aquellos que ya han recibido algo del Estado rechacen ayuda adicional.
Esto es exactamente lo que aprovechan los atacantes. Envían cartas en nombre de bancos, reguladores financieros y autoridades de seguridad social, ofreciendo ayuda. Sólo tienes que seguir el enlace...
No es difícil adivinar que después de hacer clic en una dirección dudosa, una persona termina en un sitio de phishing donde se le pide que ingrese su información financiera. Muy a menudo, al mismo tiempo que abren un sitio web, los atacantes intentan infectar una computadora con un programa troyano destinado a robar datos personales y, en particular, información financiera. A veces, un archivo adjunto de correo electrónico incluye un archivo protegido con contraseña que contiene “información importante sobre cómo obtener apoyo gubernamental” en forma de software espía o ransomware.
Además, recientemente también han comenzado a difundirse en las redes sociales programas de la categoría Infostealer. Por ejemplo, si desea descargar alguna utilidad legítima de Windows, digamos Wisecleaner[.]best, es posible que Infostealer venga incluido. Al hacer clic en el enlace, el usuario recibe un programa de descarga que descarga malware junto con la utilidad, y la fuente de descarga se selecciona según la configuración de la computadora de la víctima.
coronavirus 2022
¿Por qué hicimos toda esta excursión? El hecho es que el nuevo malware, cuyos creadores no pensaron demasiado en el nombre, acaba de absorber todo lo mejor y deleita a la víctima con dos tipos de ataques a la vez. Por un lado se carga el programa de cifrado (CoronaVirus) y por el otro, KPOT infostealer.
Ransomware CoronaVirus
El ransomware en sí es un archivo pequeño que mide 44 KB. La amenaza es simple pero efectiva. El archivo ejecutable se copia a sí mismo con un nombre aleatorio para %AppData%LocalTempvprdh.exe, y también establece la clave en el registro. WindowsCurrentVersionRun. Una vez colocada la copia, se elimina el original.
Como la mayoría de los ransomware, CoronaVirus intenta eliminar las copias de seguridad locales y desactivar el sombreado de archivos ejecutando los siguientes comandos del sistema:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
A continuación, el software comienza a cifrar archivos. El nombre de cada archivo cifrado contendrá [email protected]__ al principio, y todo lo demás sigue igual.
Además, el ransomware cambia el nombre de la unidad C a CoronaVirus.
En cada directorio que este virus logró infectar aparece un archivo CoronaVirus.txt que contiene instrucciones de pago. El rescate es de sólo 0,008 bitcoins o aproximadamente 60 dólares. Debo decir que se trata de una cifra muy modesta. Y aquí la cuestión es que el autor no se propuso hacerse muy rico... o, por el contrario, decidió que se trataba de una cantidad excelente que cualquier usuario que estuviera aislado en casa podría pagar. De acuerdo, si no puede salir, entonces $60 para que su computadora vuelva a funcionar no es mucho.
Además, el nuevo ransomware escribe un pequeño archivo ejecutable de DOS en la carpeta de archivos temporales y lo registra en el registro con la clave BootExecute para que las instrucciones de pago se muestren la próxima vez que se reinicie la computadora. Dependiendo de la configuración del sistema, es posible que este mensaje no aparezca. Sin embargo, una vez completado el cifrado de todos los archivos, la computadora se reiniciará automáticamente.
Ladrón de información de KPOT
Este ransomware también viene con software espía KPOT. Este ladrón de información puede robar cookies y contraseñas guardadas de una variedad de navegadores, así como de juegos instalados en una PC (incluido Steam), mensajería instantánea Jabber y Skype. Su área de interés también incluye detalles de acceso para FTP y VPN. Habiendo hecho su trabajo y robado todo lo que puede, el espía se borra con el siguiente comando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ya no es sólo ransomware
Este ataque, una vez más vinculado al tema de la pandemia de coronavirus, demuestra una vez más que el ransomware moderno busca hacer algo más que cifrar sus archivos. En este caso, la víctima corre el riesgo de que le roben las contraseñas de varios sitios y portales. Grupos de cibercriminales altamente organizados como Maze y DoppelPaymer se han vuelto expertos en utilizar datos personales robados para chantajear a los usuarios si no quieren pagar por la recuperación de archivos. De hecho, de repente ya no son tan importantes o el usuario tiene un sistema de respaldo que no es susceptible a ataques de Ransomware.
A pesar de su sencillez, el nuevo CoronaVirus demuestra claramente que los ciberdelincuentes también buscan aumentar sus ingresos y buscan medios adicionales de monetización. La estrategia en sí no es nueva: desde hace varios años, los analistas de Acronis han estado observando ataques de ransomware que también colocan troyanos financieros en la computadora de la víctima. Además, en las condiciones modernas, un ataque de ransomware generalmente puede servir como sabotaje para desviar la atención del objetivo principal de los atacantes: la fuga de datos.
De una forma u otra, la protección contra tales amenazas sólo puede lograrse mediante un enfoque integrado de ciberdefensa. Y los sistemas de seguridad modernos bloquean fácilmente dichas amenazas (y sus dos componentes) incluso antes de que comiencen a utilizar algoritmos heurísticos que utilizan tecnologías de aprendizaje automático. Si se integra con un sistema de copia de seguridad/recuperación ante desastres, los primeros archivos dañados se restaurarán inmediatamente.
Para aquellos interesados, sumas hash de archivos IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Solo los usuarios registrados pueden participar en la encuesta. por favor
¿Alguna vez ha experimentado cifrado y robo de datos simultáneos?
-
19,0%Sí4
-
42,9%No9
-
28,6%Tendremos que estar más atentos6
-
9,5%Ni siquiera lo pensé2
21 usuarios votaron. 5 usuarios se abstuvieron.
Fuente: habr.com