Diverses menaces utilisant des thèmes liés aux coronavirus continuent d’apparaître en ligne. Et aujourd'hui, nous souhaitons partager des informations sur un cas intéressant qui démontre clairement le désir des attaquants de maximiser leurs profits. La menace de la catégorie « 2 en 1 » s’appelle CoronaVirus. Et des informations détaillées sur le malware sont sous la coupe.
L’exploitation du thème du coronavirus a commencé il y a plus d’un mois. Les agresseurs ont profité de l’intérêt du public pour les informations sur la propagation de la pandémie et les mesures prises. Un grand nombre d'informateurs différents, d'applications spéciales et de faux sites sont apparus sur Internet qui compromettent les utilisateurs, volent des données et parfois cryptent le contenu de l'appareil et exigent une rançon. C’est exactement ce que fait l’application mobile Coronavirus Tracker, bloquant l’accès à l’appareil et exigeant une rançon.
Un autre problème lié à la propagation des logiciels malveillants était la confusion avec les mesures de soutien financier. Dans de nombreux pays, le gouvernement a promis assistance et soutien aux citoyens ordinaires et aux représentants des entreprises pendant la pandémie. Et presque nulle part l’obtention de cette aide n’est simple et transparente. De plus, beaucoup espèrent être aidés financièrement, mais ne savent pas s'ils figurent ou non sur la liste de ceux qui recevront des subventions gouvernementales. Et il est peu probable que ceux qui ont déjà reçu quelque chose de l'État refusent une aide supplémentaire.
C’est exactement ce dont profitent les attaquants. Ils envoient des lettres au nom des banques, des régulateurs financiers et des autorités de sécurité sociale, proposant leur aide. Il vous suffit de suivre le lien...
Il n’est pas difficile de deviner qu’après avoir cliqué sur une adresse douteuse, une personne se retrouve sur un site de phishing où il lui est demandé de saisir ses informations financières. Le plus souvent, simultanément à l'ouverture d'un site Web, les attaquants tentent d'infecter un ordinateur avec un cheval de Troie visant à voler des données personnelles et notamment des informations financières. Parfois, une pièce jointe à un e-mail contient un fichier protégé par mot de passe qui contient « des informations importantes sur la façon dont vous pouvez obtenir le soutien du gouvernement » sous la forme d’un logiciel espion ou d’un ransomware.
De plus, récemment, des programmes de la catégorie Infostealer ont également commencé à se diffuser sur les réseaux sociaux. Par exemple, si vous souhaitez télécharger un utilitaire Windows légitime, par exemple wisecleaner[.]best, Infostealer peut très bien l'accompagner. En cliquant sur le lien, l'utilisateur reçoit un téléchargeur qui télécharge le malware avec l'utilitaire, et la source de téléchargement est sélectionnée en fonction de la configuration de l'ordinateur de la victime.
Coronavirus2022
Pourquoi avons-nous fait toute cette excursion ? Le fait est que le nouveau malware, dont les créateurs n'ont pas réfléchi longtemps au nom, vient d'absorber tout le meilleur et ravit la victime avec deux types d'attaques à la fois. D'un côté, le programme de cryptage (CoronaVirus) est chargé, et de l'autre, le KPOT infostealer.
Ransomware CoronaVirus
Le ransomware lui-même est un petit fichier mesurant 44 Ko. La menace est simple mais efficace. Le fichier exécutable se copie sous un nom aléatoire dans %AppData%LocalTempvprdh.exe, et définit également la clé dans le registre WindowsCurrentVersionRun. Une fois la copie placée, l'original est supprimé.
Comme la plupart des ransomwares, CoronaVirus tente de supprimer les sauvegardes locales et de désactiver l'observation des fichiers en exécutant les commandes système suivantes :
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Ensuite, le logiciel commence à crypter les fichiers. Le nom de chaque fichier crypté contiendra [email protected]__ au début, et tout le reste reste pareil.
De plus, le ransomware change le nom du lecteur C en CoronaVirus.
Dans chaque répertoire que ce virus a réussi à infecter, un fichier CoronaVirus.txt apparaît, qui contient les instructions de paiement. La rançon n’est que de 0,008 bitcoins, soit environ 60 dollars. Je dois dire que c'est un chiffre très modeste. Et ici, le fait est que soit l'auteur ne s'est pas fixé pour objectif de devenir très riche... soit, au contraire, il a décidé qu'il s'agissait d'une excellente somme que tout utilisateur assis chez lui en isolement pouvait payer. D’accord, si vous ne pouvez pas sortir, alors 60 $ pour remettre votre ordinateur en marche, ce n’est pas grand-chose.
De plus, le nouveau Ransomware écrit un petit fichier exécutable DOS dans le dossier des fichiers temporaires et l'enregistre dans le registre sous la clé BootExecute afin que les instructions de paiement soient affichées au prochain redémarrage de l'ordinateur. Selon les paramètres du système, ce message peut ne pas apparaître. Cependant, une fois le cryptage de tous les fichiers terminé, l'ordinateur redémarrera automatiquement.
Voleur d'informations KPOT
Ce Ransomware est également livré avec le logiciel espion KPOT. Ce voleur d'informations peut voler des cookies et des mots de passe enregistrés dans divers navigateurs, ainsi que dans les jeux installés sur un PC (y compris Steam), les messageries instantanées Jabber et Skype. Son domaine d'intérêt comprend également les détails d'accès pour FTP et VPN. Ayant fait son travail et volé tout ce qu'il pouvait, l'espion se supprime avec la commande suivante :
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ce n'est plus seulement un Ransomware
Cette attaque, une fois de plus liée au thème de la pandémie de coronavirus, prouve une fois de plus que les ransomwares modernes cherchent à faire plus que simplement chiffrer vos fichiers. Dans ce cas, la victime court le risque de se faire voler les mots de passe de divers sites et portails. Des groupes de cybercriminels hautement organisés tels que Maze et DoppelPaymer sont devenus adeptes de l'utilisation de données personnelles volées pour faire chanter les utilisateurs s'ils ne veulent pas payer pour la récupération des fichiers. En effet, du coup ils ne sont plus si importants, ou alors l’utilisateur dispose d’un système de sauvegarde qui n’est pas sensible aux attaques de Ransomware.
Malgré sa simplicité, le nouveau CoronaVirus démontre clairement que les cybercriminels cherchent également à augmenter leurs revenus et recherchent des moyens de monétisation supplémentaires. La stratégie en elle-même n’est pas nouvelle : depuis plusieurs années maintenant, les analystes d’Acronis observent des attaques de ransomwares qui installent également des chevaux de Troie financiers sur l’ordinateur de la victime. De plus, dans les conditions modernes, une attaque de ransomware peut généralement jouer le rôle de sabotage afin de détourner l'attention de l'objectif principal des attaquants : la fuite de données.
D’une manière ou d’une autre, la protection contre de telles menaces ne peut être assurée qu’en utilisant une approche intégrée de la cyberdéfense. Et les systèmes de sécurité modernes bloquent facilement ces menaces (et leurs deux composants) avant même qu’elles ne commencent à utiliser des algorithmes heuristiques utilisant des technologies d’apprentissage automatique. S'ils sont intégrés à un système de sauvegarde/récupération après sinistre, les premiers fichiers endommagés seront immédiatement restaurés.
Pour ceux que cela intéresse, hachez les sommes des fichiers IoC :
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Seuls les utilisateurs enregistrés peuvent participer à l'enquête. s'il te plait.
Avez-vous déjà été victime d’un cryptage et d’un vol de données simultanés ?
-
19,0%Oui4
-
42,9%Non9
-
28,6%Il va falloir être plus vigilant6
-
9,5%Je n'y ai même pas pensé2
21 utilisateurs ont voté. 5 utilisateurs se sont abstenus.
Source: habr.com