تهدیدهای مختلف با استفاده از مضامین کرونا همچنان به صورت آنلاین ظاهر می شوند. و امروز می خواهیم اطلاعاتی را در مورد یک نمونه جالب به اشتراک بگذاریم که به وضوح تمایل مهاجمان را برای به حداکثر رساندن سود خود نشان می دهد. تهدیدی که از دسته «2 در 1» وارد میشود، خود را ویروس کرونا مینامد. و اطلاعات دقیق در مورد بدافزار در دست قطع است.
بهره برداری از موضوع کرونا بیش از یک ماه پیش آغاز شد. مهاجمان از علاقه مردم به اطلاعات در مورد شیوع بیماری همه گیر و اقدامات انجام شده سوء استفاده کردند. تعداد زیادی از اطلاع رسانی های مختلف، برنامه های کاربردی خاص و سایت های جعلی در اینترنت ظاهر شده اند که کاربران را به خطر می اندازند، داده ها را سرقت می کنند و گاهی اوقات محتویات دستگاه را رمزگذاری می کنند و تقاضای باج می کنند. این دقیقاً همان کاری است که برنامه تلفن همراه Coronavirus Tracker انجام می دهد که دسترسی به دستگاه را مسدود کرده و درخواست باج می کند.
یک موضوع جداگانه برای گسترش بدافزار، سردرگمی با اقدامات حمایت مالی بود. در بسیاری از کشورها، دولت وعده کمک و حمایت به شهروندان عادی و نمایندگان کسب و کار در طول همه گیری را داده است. و تقریباً هیچ کجا دریافت این کمک ساده و شفاف نیست. علاوه بر این، بسیاری امیدوارند که از نظر مالی به آنها کمک شود، اما نمی دانند که آیا در لیست دریافت کنندگان یارانه دولتی قرار دارند یا خیر. و کسانی که قبلاً چیزی از دولت دریافت کرده اند بعید است از کمک اضافی امتناع کنند.
این دقیقاً همان چیزی است که مهاجمان از آن سوء استفاده می کنند. آنها نامه هایی از طرف بانک ها، تنظیم کننده های مالی و مقامات تامین اجتماعی ارسال می کنند و به آنها کمک می کنند. شما فقط باید لینک را دنبال کنید ...
حدس زدن اینکه پس از کلیک بر روی یک آدرس مشکوک، کار سختی نیست، به یک سایت فیشینگ وارد می شود که از او خواسته می شود اطلاعات مالی خود را وارد کند. اغلب، همزمان با باز کردن یک وب سایت، مهاجمان سعی می کنند یک رایانه را با یک برنامه تروجان با هدف سرقت داده های شخصی و به ویژه اطلاعات مالی آلوده کنند. گاهی اوقات یک پیوست ایمیل حاوی یک فایل محافظت شده با رمز عبور است که حاوی «اطلاعات مهم درباره نحوه دریافت پشتیبانی دولتی» به شکل جاسوسافزار یا باجافزار است.
علاوه بر این، اخیراً برنامه هایی از دسته Infostealer نیز در شبکه های اجتماعی پخش شده است. برای مثال، اگر میخواهید برخی از ابزارهای قانونی ویندوز را دانلود کنید، مثلاً wisecleaner[.]best، Infostealer ممکن است همراه با آن باشد. با کلیک بر روی پیوند، کاربر یک دانلود کننده دریافت می کند که بدافزار را همراه با ابزار دانلود می کند و منبع دانلود بسته به پیکربندی رایانه قربانی انتخاب می شود.
ویروس کرونا 2022
چرا کل این سفر را پشت سر گذاشتیم؟ واقعیت این است که بدافزار جدید، که سازندگان آن زیاد به نام آن فکر نکرده اند، به تازگی همه بهترین ها را جذب کرده است و قربانی را با دو نوع حمله به طور همزمان خوشحال می کند. در یک طرف، برنامه رمزگذاری (CoronaVirus) بارگذاری شده است و در طرف دیگر، KPOT infostealer.
باج افزار کرونا ویروس
خود باج افزار یک فایل کوچک با حجم 44 کیلوبایت است. تهدید ساده اما موثر است. فایل اجرایی خود را تحت یک نام تصادفی در کپی می کند %AppData%LocalTempvprdh.exe
و همچنین کلید را در رجیستری تنظیم می کند WindowsCurrentVersionRun
. پس از قرار دادن کپی، نسخه اصلی حذف می شود.
مانند اکثر باجافزارها، CoronaVirus تلاش میکند تا نسخههای پشتیبان محلی را حذف کرده و با اجرای دستورات سیستم زیر، سایهزنی فایلها را غیرفعال کند:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
در مرحله بعد، نرم افزار شروع به رمزگذاری فایل ها می کند. نام هر فایل رمزگذاری شده حاوی خواهد بود [email protected]__
در ابتدا، و همه چیز به همان شکل باقی می ماند.
علاوه بر این، باج افزار نام درایو C را به CoronaVirus تغییر می دهد.
در هر دایرکتوری که این ویروس توانسته آلوده کند، یک فایل CoronaVirus.txt ظاهر می شود که حاوی دستورالعمل های پرداخت است. باج فقط 0,008 بیت کوین یا تقریباً 60 دلار است. باید بگویم که این رقم بسیار متواضعی است. و در اینجا نکته این است که نویسنده هدف خود را ثروتمند شدن زیاد قرار نداده است ... یا برعکس ، او به این نتیجه رسیده است که این مبلغ عالی است که هر کاربری که در خانه خود در انزوا نشسته می تواند بپردازد. موافقم، اگر نمیتوانید بیرون بروید، 60 دلار برای اینکه رایانهتان دوباره کار کند آنقدر نیست.
علاوه بر این، باجافزار جدید یک فایل اجرایی کوچک DOS را در پوشه فایلهای موقت مینویسد و آن را در رجیستری زیر کلید BootExecute ثبت میکند تا دفعه بعد که کامپیوتر دوباره راهاندازی میشود، دستورالعملهای پرداخت نشان داده شود. بسته به تنظیمات سیستم، این پیام ممکن است ظاهر نشود. با این حال، پس از رمزگذاری تمام فایل ها، کامپیوتر به طور خودکار راه اندازی مجدد می شود.
KPOT infodealer
این باج افزار همچنین با نرم افزار جاسوسی KPOT همراه است. این infostealer میتواند کوکیها و گذرواژههای ذخیرهشده را از انواع مرورگرها و همچنین از بازیهای نصب شده روی رایانه شخصی (از جمله Steam)، Jabber و پیامرسانهای فوری Skype بدزدد. حوزه مورد علاقه او همچنین شامل جزئیات دسترسی به FTP و VPN است. جاسوس که کارش را انجام داده و همه چیز را دزدیده است، با دستور زیر خودش را پاک می کند:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
این دیگر فقط باج افزار نیست
این حمله که بار دیگر با موضوع همهگیری ویروس کرونا گره خورده است، بار دیگر ثابت میکند که باجافزار مدرن به دنبال انجام کارهایی بیش از رمزگذاری فایلهای شماست. در این حالت قربانی خطر سرقت رمز عبور سایت ها و پورتال های مختلف را تهدید می کند. گروههای مجرم سایبری بسیار سازمانیافته مانند Maze و DoppelPaymer در استفاده از دادههای شخصی دزدیده شده برای باجگیری از کاربران در صورتی که نمیخواهند برای بازیابی فایل پول پرداخت کنند، ماهر شدهاند. در واقع، ناگهان آنها چندان مهم نیستند، یا کاربر یک سیستم پشتیبان دارد که مستعد حملات Ransomware نیست.
کروناویروس جدید علی رغم سادگی، به وضوح نشان می دهد که مجرمان سایبری نیز به دنبال افزایش درآمد خود هستند و به دنبال ابزارهای اضافی برای کسب درآمد هستند. این استراتژی به خودی خود چیز جدیدی نیست - چندین سال است که تحلیلگران Acronis حملات باج افزاری را مشاهده می کنند که همچنین تروجان های مالی را روی رایانه قربانی نصب می کند. علاوه بر این، در شرایط مدرن، یک حمله باج افزار به طور کلی می تواند به عنوان یک خرابکاری عمل کند تا توجه را از هدف اصلی مهاجمان - نشت داده ها منحرف کند.
به هر طریقی، حفاظت در برابر چنین تهدیداتی تنها با استفاده از یک رویکرد یکپارچه برای دفاع سایبری قابل دستیابی است. و سیستم های امنیتی مدرن به راحتی چنین تهدیدهایی (و هر دو مؤلفه آنها) را حتی قبل از اینکه شروع به استفاده از الگوریتم های اکتشافی با استفاده از فناوری های یادگیری ماشین کنند، مسدود می کنند. در صورت ادغام با یک سیستم بازیابی پشتیبان/فاجعه، اولین فایل های آسیب دیده بلافاصله بازیابی می شوند.
برای علاقه مندان، مجموع هش فایل های IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند.
آیا تا به حال رمزگذاری و سرقت اطلاعات همزمان را تجربه کرده اید؟
-
٪۱۰۰بله 4
-
٪۱۰۰شماره 9
-
٪۱۰۰ما باید بیشتر هوشیار باشیم6
-
٪۱۰۰حتی بهش فکر نکردم 2
21 کاربر رای دادند. 5 کاربر رای ممتنع دادند.
منبع: www.habr.com