Continúan aparecendo en liña varias ameazas que usan temas de coronavirus. E hoxe queremos compartir información sobre unha instancia interesante que demostra claramente o desexo dos atacantes de maximizar os seus beneficios. A ameaza da categoría "2 en 1" chámase CoronaVirus. E información detallada sobre o malware está baixo corte.
A explotación do tema do coronavirus comezou hai máis dun mes. Os atacantes aproveitáronse do interese da cidadanía pola información sobre a propagación da pandemia e as medidas adoptadas. Apareceron en Internet unha gran cantidade de informadores diferentes, aplicacións especiais e sitios falsos que comprometen aos usuarios, rouban datos e ás veces cifran o contido do dispositivo e esixen un rescate. Isto é exactamente o que fai a aplicación móbil Coronavirus Tracker, bloqueando o acceso ao dispositivo e esixindo un rescate.
Un problema aparte para a propagación de malware foi a confusión coas medidas de apoio financeiro. En moitos países, o goberno prometeu asistencia e apoio aos cidadáns comúns e aos representantes das empresas durante a pandemia. E case en ningunha parte recibir esta asistencia é sinxela e transparente. Ademais, moitos esperan que se lles axude económicamente, pero non saben se están incluídos na lista dos que recibirán subvencións públicas ou non. E aqueles que xa recibiron algo do Estado é improbable que se neguen a axuda adicional.
Isto é exactamente o que aproveitan os atacantes. Envían cartas en nome de bancos, reguladores financeiros e autoridades da seguridade social, ofrecendo axuda. Só tes que seguir o enlace...
Non é difícil adiviñar que despois de facer clic nun enderezo dubidoso, unha persoa acaba nun sitio de phishing onde se lle pide que introduza a súa información financeira. Na maioría das veces, ao mesmo tempo que abrir un sitio web, os atacantes tentan infectar un ordenador cun programa troiano destinado a roubar datos persoais e, en particular, información financeira. Ás veces, un anexo de correo electrónico inclúe un ficheiro protexido con contrasinal que contén "información importante sobre como podes obter apoio do goberno" en forma de spyware ou ransomware.
Ademais, recentemente tamén comezaron a espallarse nas redes sociais programas da categoría Infostealer. Por exemplo, se queres descargar algunha utilidade lexítima de Windows, digamos wisecleaner[.]mellor, Infostealer pode que veña incluído con el. Ao facer clic na ligazón, o usuario recibe un descargador que descarga malware xunto coa utilidade, e a fonte de descarga é seleccionada dependendo da configuración do ordenador da vítima.
Coronavirus 2022
Por que pasamos por toda esta excursión? O caso é que o novo malware, cuxos creadores non pensaron demasiado no nome, acaba de absorber todo o mellor e deleita á vítima con dous tipos de ataques á vez. Por un lado, está cargado o programa de cifrado (CoronaVirus) e, por outro, KPOT infostealer.
Ransomware CoronaVirus
O propio ransomware é un pequeno ficheiro que mide 44 KB. A ameaza é sinxela pero eficaz. O ficheiro executable cópiase baixo un nome aleatorio a %AppData%LocalTempvprdh.exe, e tamén establece a clave no rexistro WindowsCurrentVersionRun. Unha vez colocada a copia, elimínase o orixinal.
Como a maioría dos ransomware, CoronaVirus tenta eliminar as copias de seguranza locais e desactivar o sombreado de ficheiros executando os seguintes comandos do sistema:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
A continuación, o software comeza a cifrar os ficheiros. O nome de cada ficheiro cifrado conterá [email protected]__ ao principio, e todo o demais segue igual.
Ademais, o ransomware cambia o nome da unidade C a CoronaVirus.
En cada directorio que este virus conseguiu infectar, aparece un ficheiro CoronaVirus.txt, que contén instrucións de pago. O rescate é de só 0,008 bitcoins ou aproximadamente 60 dólares. Debo dicir que esta é unha cifra moi modesta. E aquí a cuestión é ou ben que o autor non se propoñía o obxectivo de facerse moi rico... ou ben, pola contra, decidiu que se trataba dunha cantidade excelente que podía pagar todo usuario sentado na casa illado. De acordo, se non podes saír fóra, 60 dólares para que o teu ordenador volva funcionar non son tanto.
Ademais, o novo Ransomware escribe un pequeno ficheiro executable de DOS no cartafol de ficheiros temporais e rexístrao no rexistro baixo a clave BootExecute para que se mostren as instrucións de pago a próxima vez que se reinicie o ordenador. Dependendo da configuración do sistema, é posible que esta mensaxe non apareza. Non obstante, despois de completar o cifrado de todos os ficheiros, o ordenador reiniciarase automaticamente.
KPOT infostealer
Este ransomware tamén inclúe software espía KPOT. Este infostealer pode roubar cookies e contrasinais gardados de diversos navegadores, así como de xogos instalados nun PC (incluído Steam), Jabber e mensaxería instantánea de Skype. A súa área de interese tamén inclúe detalles de acceso para FTP e VPN. Despois de ter feito o seu traballo e roubar todo o que pode, o espía elimínase co seguinte comando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Xa non é só Ransomware
Este ataque, unha vez máis ligado ao tema da pandemia de coronavirus, demostra unha vez máis que o ransomware moderno busca facer algo máis que cifrar os teus ficheiros. Neste caso, a vítima corre o risco de que lle rouben os contrasinais de varios sitios e portais. Grupos cibercriminales altamente organizados como Maze e DoppelPaymer fixéronse expertos no uso de datos persoais roubados para chantaxear aos usuarios se non queren pagar pola recuperación de ficheiros. De feito, de súpeto non son tan importantes, ou o usuario ten un sistema de copia de seguridade que non é susceptible aos ataques de ransomware.
A pesar da súa sinxeleza, o novo CoronaVirus demostra claramente que os ciberdelincuentes tamén buscan aumentar os seus ingresos e buscan medios adicionais de monetización. A estratexia en si non é nova: hai varios anos que os analistas de Acronis observan ataques de ransomware que tamén plantan troianos financeiros no ordenador da vítima. Ademais, en condicións modernas, un ataque de ransomware xeralmente pode servir como unha sabotaxe para desviar a atención do obxectivo principal dos atacantes: a fuga de datos.
Dun xeito ou doutro, a protección contra este tipo de ameazas só se pode conseguir mediante un enfoque integrado da ciberdefensa. E os sistemas de seguridade modernos bloquean facilmente este tipo de ameazas (e os dous compoñentes) mesmo antes de que comecen a usar algoritmos heurísticos mediante tecnoloxías de aprendizaxe automática. Se se integra cun sistema de copia de seguridade/recuperación de desastres, os primeiros ficheiros danados restauraranse inmediatamente.
Para os interesados, sumas hash dos ficheiros IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Só os usuarios rexistrados poden participar na enquisa. , por favor.
Algunha vez experimentou cifrado simultáneo e roubo de datos?
-
19,0%Si 4
-
42,9%No 9
-
28,6%Haberá que estar máis atentos6
-
9,5%Nin sequera o pensei2
Votaron 21 usuarios. 5 usuarios abstivéronse.
Fonte: www.habr.com