ProHoster > وبلاگ > اداره > کروناویروس دیجیتال - ترکیبی از Ransomware و Infostealer

کروناویروس دیجیتال - ترکیبی از Ransomware و Infostealer

تهدیدهای مختلف با استفاده از مضامین کرونا همچنان به صورت آنلاین ظاهر می شوند. و امروز می خواهیم اطلاعاتی را در مورد یک نمونه جالب به اشتراک بگذاریم که به وضوح تمایل مهاجمان را برای به حداکثر رساندن سود خود نشان می دهد. تهدیدی که از دسته «2 در 1» وارد می‌شود، خود را ویروس کرونا می‌نامد. و اطلاعات دقیق در مورد بدافزار در دست قطع است.

کروناویروس دیجیتال - ترکیبی از Ransomware و Infostealer

بهره برداری از موضوع کرونا بیش از یک ماه پیش آغاز شد. مهاجمان از علاقه مردم به اطلاعات در مورد شیوع بیماری همه گیر و اقدامات انجام شده سوء استفاده کردند. تعداد زیادی از اطلاع رسانی های مختلف، برنامه های کاربردی خاص و سایت های جعلی در اینترنت ظاهر شده اند که کاربران را به خطر می اندازند، داده ها را سرقت می کنند و گاهی اوقات محتویات دستگاه را رمزگذاری می کنند و تقاضای باج می کنند. این دقیقاً همان کاری است که برنامه تلفن همراه Coronavirus Tracker انجام می دهد که دسترسی به دستگاه را مسدود کرده و درخواست باج می کند.

یک موضوع جداگانه برای گسترش بدافزار، سردرگمی با اقدامات حمایت مالی بود. در بسیاری از کشورها، دولت وعده کمک و حمایت به شهروندان عادی و نمایندگان کسب و کار در طول همه گیری را داده است. و تقریباً هیچ کجا دریافت این کمک ساده و شفاف نیست. علاوه بر این، بسیاری امیدوارند که از نظر مالی به آنها کمک شود، اما نمی دانند که آیا در لیست دریافت کنندگان یارانه دولتی قرار دارند یا خیر. و کسانی که قبلاً چیزی از دولت دریافت کرده اند بعید است از کمک اضافی امتناع کنند.

این دقیقاً همان چیزی است که مهاجمان از آن سوء استفاده می کنند. آنها نامه هایی از طرف بانک ها، تنظیم کننده های مالی و مقامات تامین اجتماعی ارسال می کنند و به آنها کمک می کنند. شما فقط باید لینک را دنبال کنید ...

حدس زدن اینکه پس از کلیک بر روی یک آدرس مشکوک، کار سختی نیست، به یک سایت فیشینگ وارد می شود که از او خواسته می شود اطلاعات مالی خود را وارد کند. اغلب، همزمان با باز کردن یک وب سایت، مهاجمان سعی می کنند یک رایانه را با یک برنامه تروجان با هدف سرقت داده های شخصی و به ویژه اطلاعات مالی آلوده کنند. گاهی اوقات یک پیوست ایمیل حاوی یک فایل محافظت شده با رمز عبور است که حاوی «اطلاعات مهم درباره نحوه دریافت پشتیبانی دولتی» به شکل جاسوس‌افزار یا باج‌افزار است.

علاوه بر این، اخیراً برنامه هایی از دسته Infostealer نیز در شبکه های اجتماعی پخش شده است. برای مثال، اگر می‌خواهید برخی از ابزارهای قانونی ویندوز را دانلود کنید، مثلاً wisecleaner[.]best، Infostealer ممکن است همراه با آن باشد. با کلیک بر روی پیوند، کاربر یک دانلود کننده دریافت می کند که بدافزار را همراه با ابزار دانلود می کند و منبع دانلود بسته به پیکربندی رایانه قربانی انتخاب می شود.

ویروس کرونا 2022

چرا کل این سفر را پشت سر گذاشتیم؟ واقعیت این است که بدافزار جدید، که سازندگان آن زیاد به نام آن فکر نکرده اند، به تازگی همه بهترین ها را جذب کرده است و قربانی را با دو نوع حمله به طور همزمان خوشحال می کند. در یک طرف، برنامه رمزگذاری (CoronaVirus) بارگذاری شده است و در طرف دیگر، KPOT infostealer.

باج افزار کرونا ویروس

خود باج افزار یک فایل کوچک با حجم 44 کیلوبایت است. تهدید ساده اما موثر است. فایل اجرایی خود را تحت یک نام تصادفی در کپی می کند %AppData%LocalTempvprdh.exeو همچنین کلید را در رجیستری تنظیم می کند WindowsCurrentVersionRun. پس از قرار دادن کپی، نسخه اصلی حذف می شود.

مانند اکثر باج‌افزارها، CoronaVirus تلاش می‌کند تا نسخه‌های پشتیبان محلی را حذف کرده و با اجرای دستورات سیستم زیر، سایه‌زنی فایل‌ها را غیرفعال کند:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

در مرحله بعد، نرم افزار شروع به رمزگذاری فایل ها می کند. نام هر فایل رمزگذاری شده حاوی خواهد بود [email protected]__ در ابتدا، و همه چیز به همان شکل باقی می ماند.
علاوه بر این، باج افزار نام درایو C را به CoronaVirus تغییر می دهد.

کروناویروس دیجیتال - ترکیبی از Ransomware و Infostealer

در هر دایرکتوری که این ویروس توانسته آلوده کند، یک فایل CoronaVirus.txt ظاهر می شود که حاوی دستورالعمل های پرداخت است. باج فقط 0,008 بیت کوین یا تقریباً 60 دلار است. باید بگویم که این رقم بسیار متواضعی است. و در اینجا نکته این است که نویسنده هدف خود را ثروتمند شدن زیاد قرار نداده است ... یا برعکس ، او به این نتیجه رسیده است که این مبلغ عالی است که هر کاربری که در خانه خود در انزوا نشسته می تواند بپردازد. موافقم، اگر نمی‌توانید بیرون بروید، 60 دلار برای اینکه رایانه‌تان دوباره کار کند آنقدر نیست.

کروناویروس دیجیتال - ترکیبی از Ransomware و Infostealer

علاوه بر این، باج‌افزار جدید یک فایل اجرایی کوچک DOS را در پوشه فایل‌های موقت می‌نویسد و آن را در رجیستری زیر کلید BootExecute ثبت می‌کند تا دفعه بعد که کامپیوتر دوباره راه‌اندازی می‌شود، دستورالعمل‌های پرداخت نشان داده شود. بسته به تنظیمات سیستم، این پیام ممکن است ظاهر نشود. با این حال، پس از رمزگذاری تمام فایل ها، کامپیوتر به طور خودکار راه اندازی مجدد می شود.

کروناویروس دیجیتال - ترکیبی از Ransomware و Infostealer

KPOT infodealer

این باج افزار همچنین با نرم افزار جاسوسی KPOT همراه است. این infostealer می‌تواند کوکی‌ها و گذرواژه‌های ذخیره‌شده را از انواع مرورگرها و همچنین از بازی‌های نصب شده روی رایانه شخصی (از جمله Steam)، Jabber و پیام‌رسان‌های فوری Skype بدزدد. حوزه مورد علاقه او همچنین شامل جزئیات دسترسی به FTP و VPN است. جاسوس که کارش را انجام داده و همه چیز را دزدیده است، با دستور زیر خودش را پاک می کند:

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

این دیگر فقط باج افزار نیست

این حمله که بار دیگر با موضوع همه‌گیری ویروس کرونا گره خورده است، بار دیگر ثابت می‌کند که باج‌افزار مدرن به دنبال انجام کارهایی بیش از رمزگذاری فایل‌های شماست. در این حالت قربانی خطر سرقت رمز عبور سایت ها و پورتال های مختلف را تهدید می کند. گروه‌های مجرم سایبری بسیار سازمان‌یافته مانند Maze و DoppelPaymer در استفاده از داده‌های شخصی دزدیده شده برای باج‌گیری از کاربران در صورتی که نمی‌خواهند برای بازیابی فایل پول پرداخت کنند، ماهر شده‌اند. در واقع، ناگهان آنها چندان مهم نیستند، یا کاربر یک سیستم پشتیبان دارد که مستعد حملات Ransomware نیست.

کروناویروس جدید علی رغم سادگی، به وضوح نشان می دهد که مجرمان سایبری نیز به دنبال افزایش درآمد خود هستند و به دنبال ابزارهای اضافی برای کسب درآمد هستند. این استراتژی به خودی خود چیز جدیدی نیست - چندین سال است که تحلیلگران Acronis حملات باج افزاری را مشاهده می کنند که همچنین تروجان های مالی را روی رایانه قربانی نصب می کند. علاوه بر این، در شرایط مدرن، یک حمله باج افزار به طور کلی می تواند به عنوان یک خرابکاری عمل کند تا توجه را از هدف اصلی مهاجمان - نشت داده ها منحرف کند.

به هر طریقی، حفاظت در برابر چنین تهدیداتی تنها با استفاده از یک رویکرد یکپارچه برای دفاع سایبری قابل دستیابی است. و سیستم های امنیتی مدرن به راحتی چنین تهدیدهایی (و هر دو مؤلفه آنها) را حتی قبل از اینکه شروع به استفاده از الگوریتم های اکتشافی با استفاده از فناوری های یادگیری ماشین کنند، مسدود می کنند. در صورت ادغام با یک سیستم بازیابی پشتیبان/فاجعه، اولین فایل های آسیب دیده بلافاصله بازیابی می شوند.

کروناویروس دیجیتال - ترکیبی از Ransomware و Infostealer

برای علاقه مندان، مجموع هش فایل های IoC:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

آیا تا به حال رمزگذاری و سرقت اطلاعات همزمان را تجربه کرده اید؟

  • ٪۱۰۰بله 4

  • ٪۱۰۰شماره 9

  • ٪۱۰۰ما باید بیشتر هوشیار باشیم6

  • ٪۱۰۰حتی بهش فکر نکردم 2

21 کاربر رای دادند. 5 کاربر رای ممتنع دادند.

منبع: www.habr.com

اضافه کردن نظر