Na internetu se i dalje pojavljuju razne prijetnje koje koriste teme vezane uz koronavirus. I danas želimo podijeliti informacije o jednom zanimljivom primjeru koji jasno pokazuje želju napadača da maksimiziraju svoju zaradu. Prijetnja iz kategorije “2-u-1” sebe naziva CoronaVirus. Detaljne informacije o zlonamjernom softveru nalaze se ispod.
Iskorištavanje teme o koronavirusu počelo je prije više od mjesec dana. Napadači su iskoristili interes javnosti za informacije o širenju pandemije i poduzetim mjerama. Na internetu se pojavio ogroman broj različitih informatora, posebnih aplikacija i lažnih stranica koje kompromitiraju korisnike, kradu podatke, a ponekad i šifriraju sadržaj uređaja i traže otkupninu. Upravo to radi mobilna aplikacija Coronavirus Tracker, blokirajući pristup uređaju i tražeći otkupninu.
Zaseban problem za širenje zlonamjernog softvera bila je zabuna s mjerama financijske potpore. U mnogim zemljama vlada je obećala pomoć i podršku običnim građanima i poslovnim predstavnicima tijekom pandemije. I gotovo nigdje primanje te pomoći nije jednostavno i transparentno. Štoviše, mnogi se nadaju da će im se financijski pomoći, ali ne znaju jesu li na popisu onih koji će dobiti državne potpore ili ne. A oni koji su već nešto dobili od države vjerojatno neće odbiti dodatnu pomoć.
Upravo to napadači iskorištavaju. Šalju pisma u ime banaka, financijskih regulatora i tijela socijalne sigurnosti, nudeći pomoć. Samo trebate slijediti link...
Nije teško pogoditi da nakon klika na sumnjivu adresu osoba završi na stranici za krađu identiteta gdje se od nje traži da unese svoje financijske podatke. Najčešće, istovremeno s otvaranjem web stranice, napadači pokušavaju zaraziti računalo trojanskim programom čiji je cilj krađa osobnih podataka, a posebno financijskih informacija. Ponekad privitak e-pošte uključuje datoteku zaštićenu lozinkom koja sadrži "važne informacije o tome kako možete dobiti potporu vlade" u obliku spywarea ili ransomwarea.
Osim toga, nedavno su se društvenim mrežama počeli širiti i programi iz kategorije Infostealer. Na primjer, ako želite preuzeti neki legitimni Windows uslužni program, recimo wisecleaner[.]best, Infostealer bi mogao doći u paketu s njim. Klikom na poveznicu korisnik dobiva downloader koji preuzima malware zajedno s uslužnim programom, a izvor preuzimanja odabire se ovisno o konfiguraciji žrtvinog računala.
Koronavirus 2022
Zašto smo prošli cijelu ovu ekskurziju? Činjenica je da je novi zlonamjerni softver, čiji kreatori nisu predugo razmišljali o imenu, upravo upio sve najbolje i oduševio žrtvu s dvije vrste napada odjednom. S jedne strane se učitava program za šifriranje (CoronaVirus), a s druge strane KPOT infostealer.
CoronaVirus ransomware
Sam ransomware je mala datoteka veličine 44KB. Prijetnja je jednostavna, ali učinkovita. Izvršna datoteka sama sebe kopira pod nasumičnim imenom u %AppData%LocalTempvprdh.exe, a također postavlja ključ u registru WindowsCurrentVersionRun. Nakon postavljanja kopije, izvornik se briše.
Kao i većina ransomwarea, CoronaVirus pokušava izbrisati lokalne sigurnosne kopije i onemogućiti sjenčanje datoteka pokretanjem sljedećih sistemskih naredbi:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Zatim softver počinje šifrirati datoteke. Naziv svake šifrirane datoteke sadržavat će [email protected]__ na početku, a sve ostalo ostaje isto.
Osim toga, ransomware mijenja naziv pogona C u CoronaVirus.
U svakom direktoriju koji je ovaj virus uspio zaraziti pojavljuje se datoteka CoronaVirus.txt koja sadrži upute za plaćanje. Otkupnina iznosi samo 0,008 bitcoina ili otprilike 60 USD. Moram reći, ovo je vrlo skromna brojka. A ovdje se radi ili o tome da si autor nije postavio cilj da se jako obogati... ili je, naprotiv, zaključio da je to odličan iznos koji može platiti svaki korisnik koji sjedi kod kuće u samoizolaciji. Slažete se, ako ne možete izaći van, onda 60 dolara za ponovno pokretanje vašeg računala nije tako puno.
Osim toga, novi Ransomware zapisuje malu DOS izvršnu datoteku u mapu privremenih datoteka i registrira je u registru pod ključem BootExecute tako da će se upute za plaćanje prikazati sljedeći put kada se računalo ponovno pokrene. Ovisno o postavkama sustava, ova se poruka možda neće pojaviti. Međutim, nakon dovršetka šifriranja svih datoteka, računalo će se automatski ponovno pokrenuti.
KPOT infostealer
Ovaj Ransomware također dolazi sa KPOT špijunskim softverom. Ovaj infostealer može ukrasti kolačiće i spremljene lozinke iz raznih preglednika, kao i iz igara instaliranih na računalu (uključujući Steam), Jabber i Skype instant messengere. Njegovo područje interesa također uključuje pojedinosti o pristupu za FTP i VPN. Nakon što je obavio posao i ukrao sve što je mogao, špijun se briše sljedećom naredbom:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
To više nije samo Ransomware
Ovaj napad, opet vezan uz temu pandemije koronavirusa, još jednom dokazuje da moderni ransomware nastoji učiniti više od pukog šifriranja vaših datoteka. U tom slučaju žrtva se izlaže opasnosti od krađe lozinki za razne stranice i portale. Visoko organizirane skupine kibernetičkog kriminala kao što su Maze i DoppelPaymer postale su vješte u korištenju ukradenih osobnih podataka za ucjenjivanje korisnika ako ne žele platiti oporavak datoteka. Doista, odjednom više nisu toliko važni ili korisnik ima rezervni sustav koji nije osjetljiv na napade Ransomwarea.
Unatoč svojoj jednostavnosti, novi CoronaVirus jasno pokazuje da kibernetički kriminalci također žele povećati svoje prihode i traže dodatne načine monetizacije. Sama strategija nije nova - već nekoliko godina analitičari Acronisa promatraju napade ransomwarea koji također postavljaju financijske trojance na žrtvino računalo. Štoviše, u modernim uvjetima ransomware napad općenito može poslužiti kao sabotaža kako bi se skrenula pozornost s glavnog cilja napadača – curenja podataka.
Na ovaj ili onaj način, zaštita od takvih prijetnji može se postići samo integriranim pristupom kibernetičkoj obrani. A moderni sigurnosni sustavi lako blokiraju takve prijetnje (i obje njihove komponente) čak i prije nego počnu koristiti heurističke algoritme koji koriste tehnologije strojnog učenja. Ako je integriran sa sustavom sigurnosnog kopiranja/oporavka od katastrofe, prve oštećene datoteke bit će odmah vraćene.
Za zainteresirane, hash zbrojevi IoC datoteka:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
U anketi mogu sudjelovati samo registrirani korisnici. , molim.
Jeste li ikada doživjeli simultanu enkripciju i krađu podataka?
-
19,0%Da4
-
42,9%br.9
-
28,6%Morat ćemo biti oprezniji6
-
9,5%Nisam ni razmišljao o tome2
Glasovao je 21 korisnik. Suzdržano je bilo 5 korisnika.
Izvor: www.habr.com