Internetis ilmuvad jätkuvalt mitmesugused koroonaviiruse teemasid kasutavad ohud. Ja täna tahame jagada teavet ühe huvitava juhtumi kohta, mis näitab selgelt ründajate soovi oma kasumit maksimeerida. Kategooriast "2-in-1" pärinev oht nimetab end koroonaviiruseks. Ja üksikasjalik teave pahavara kohta on alles.
Koroonaviiruse teemat hakati kasutama rohkem kui kuu aega tagasi. Ründajad kasutasid ära avalikkuse huvi pandeemia leviku ja võetud meetmete kohta teabe vastu. Internetti on ilmunud tohutul hulgal erinevaid informaatoreid, erirakendusi ja võltsitud saite, mis kompromiteerivad kasutajaid, varastavad andmeid ning mõnikord krüpteerivad seadme sisu ja nõuavad lunaraha. Just seda teeb mobiilirakendus Coronavirus Tracker, blokeerides juurdepääsu seadmele ja nõudes lunaraha.
Omaette probleem pahavara leviku juures oli segadus rahaliste toetusmeetmetega. Paljudes riikides on valitsus lubanud pandeemia ajal tavakodanikele ja ettevõtete esindajatele abi ja tuge. Ja peaaegu mitte kusagil pole selle abi saamine lihtne ja läbipaistev. Pealegi loodavad paljud, et neid aidatakse rahaliselt, kuid ei tea, kas nad on riigitoetuse saajate nimekirjas või mitte. Ja need, kes on riigilt juba midagi saanud, ei keeldu tõenäoliselt täiendavast abist.
Just seda ründajad ära kasutavad. Nad saadavad kirju pankade, finantsregulaatorite ja sotsiaalkindlustusasutuste nimel, pakkudes abi. Peate lihtsalt järgima linki ...
Pole raske ära arvata, et pärast kahtlasel aadressil klõpsamist satub inimene andmepüügisaidile, kuhu tal palutakse sisestada oma finantsteave. Enamasti üritavad ründajad samaaegselt veebisaidi avamisega nakatada arvutit Trooja programmiga, mille eesmärk on varastada isikuandmeid ja eelkõige finantsteavet. Mõnikord sisaldab e-kirja manus parooliga kaitstud faili, mis sisaldab „olulist teavet selle kohta, kuidas saada valitsuse toetust” nuhkvara või lunavara kujul.
Lisaks on viimasel ajal sotsiaalvõrgustikes levima hakanud ka Infostealeri kategooria programmid. Näiteks kui soovite alla laadida mõne legitiimse Windowsi utiliidi, näiteks wisecleaner[.]best, võib Infostealer selle komplektis olla. Lingil klõpsates saab kasutaja allalaadija, mis laadib alla koos utiliidiga pahavara ja allalaadimise allikas valitakse sõltuvalt ohvri arvuti konfiguratsioonist.
Koronaviirus 2022
Miks me kogu selle ekskursiooni läbi tegime? Tõsiasi on see, et uus pahavara, mille loojad nimele liiga kaua ei mõelnud, on äsja endasse võtnud kõik parima ja rõõmustab ohvrit korraga kahte tüüpi rünnakutega. Ühel küljel on laaditud krüpteerimisprogramm (CoronaVirus) ja teisel pool KPOT infostealer.
CoronaVirus lunavara
Lunavara ise on väike fail suurusega 44KB. Oht on lihtne, kuid tõhus. Käivitatav fail kopeerib end juhusliku nime all asukohta %AppData%LocalTempvprdh.exeja määrab ka võtme registris WindowsCurrentVersionRun. Kui koopia on paigutatud, originaal kustutatakse.
Nagu enamik lunavarasid, üritab CoronaVirus kustutada kohalikke varukoopiaid ja keelata failide varju, käivitades järgmised süsteemikäsud:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Järgmisena hakkab tarkvara faile krüptima. Iga krüptitud faili nimi sisaldab [email protected]__ alguses ja kõik muu jääb samaks.
Lisaks muudab lunavara C-draivi nime CoronaVirus.
Igas kataloogis, mida sellel viirusel õnnestus nakatada, ilmub CoronaVirus.txt fail, mis sisaldab maksejuhiseid. Lunaraha on vaid 0,008 bitcoini ehk ligikaudu 60 dollarit. Pean ütlema, et see näitaja on väga tagasihoidlik. Ja siin on asi selles, et autor ei seadnud endale eesmärgiks väga rikkaks saada... või, vastupidi, otsustas, et see on suurepärane summa, mille võiks maksta iga isoleeritult kodus istuv kasutaja. Nõus, kui te ei saa õue minna, pole 60 dollarit arvuti uuesti tööle panemiseks nii palju.
Lisaks kirjutab uus Ransomware väikese DOS-i käivitatava faili ajutiste failide kausta ja registreerib selle registris BootExecute võtme all, nii et järgmisel arvuti taaskäivitamisel kuvatakse maksejuhised. Olenevalt süsteemiseadetest ei pruugi see teade ilmuda. Kuid pärast kõigi failide krüptimise lõpetamist taaskäivitub arvuti automaatselt.
KPOT infostealer
Selle lunavaraga on kaasas ka KPOT nuhkvara. See infovarastaja võib varastada küpsiseid ja salvestatud paroole erinevatest brauseritest, aga ka arvutisse installitud mängudest (sh Steam), Jabberi ja Skype'i kiirsõnumite kaudu. Tema huviala hõlmab ka juurdepääsu üksikasju FTP-le ja VPN-ile. Olles teinud oma töö ja varastanud kõik, mis võimalik, kustutab spioon end järgmise käsuga:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
See pole enam ainult Ransomware
See rünnak, mis on taaskord seotud koroonaviiruse pandeemia teemaga, tõestab taas, et tänapäevane lunavara püüab teha enamat kui lihtsalt teie faile krüptida. Sel juhul on ohver oht, et varastatakse erinevate saitide ja portaalide paroolid. Kõrgelt organiseeritud küberkurjategijate rühmitused, nagu Maze ja DoppelPaymer, on saanud osavaks varastatud isikuandmete kasutamisel kasutajate väljapressimiseks, kui nad ei soovi failide taastamise eest maksta. Tõepoolest, äkki pole need nii olulised või kasutajal on varusüsteem, mis ei ole Ransomware rünnakutele vastuvõtlik.
Vaatamata oma lihtsusele näitab uus CoronaVirus selgelt, et ka küberkurjategijad soovivad oma sissetulekuid suurendada ja otsivad täiendavaid raha teenimise vahendeid. Strateegia ise pole uus – Acronise analüütikud on juba mitu aastat jälginud lunavararünnakuid, mis istutavad ohvri arvutisse ka rahalisi troojalasi. Veelgi enam, tänapäevastes tingimustes võib lunavararünnak toimida üldiselt sabotaažina, et juhtida tähelepanu kõrvale ründajate põhieesmärgilt – andmelekkelt.
Nii või teisiti saab selliste ohtude eest kaitsta vaid integreeritud lähenemist küberkaitsele. Kaasaegsed turvasüsteemid blokeerivad sellised ohud (ja nende mõlemad komponendid) kergesti juba enne, kui nad hakkavad kasutama masinõppetehnoloogiaid kasutavaid heuristlikke algoritme. Kui see on integreeritud varundus-/katastroofitaastesüsteemiga, taastatakse esimesed kahjustatud failid kohe.
Huvilistele IoC-failide räsisummad:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Küsitluses saavad osaleda ainult registreerunud kasutajad. palun.
Kas olete kunagi kogenud samaaegset krüptimist ja andmete vargust?
-
19,0%jah 4
-
42,9%Ei 9
-
28,6%Peame olema valvsamad6
-
9,5%Ma isegi ei mõelnud sellele 2
21 kasutajat hääletas. 5 kasutajat jäi erapooletuks.
Allikas: www.habr.com