A koronavírus-témájú különféle fenyegetések továbbra is megjelennek az interneten. És ma szeretnénk megosztani információkat egy érdekes esetről, amely egyértelműen mutatja a támadók azon vágyát, hogy maximalizálják nyereségüket. A „2 az 1-ben” kategóriából származó fenyegetés CoronaVírusnak nevezi magát. A rosszindulatú programokkal kapcsolatos részletes információk pedig a kivágás alatt állnak.
A koronavírus-téma kiaknázása több mint egy hónapja kezdődött. A támadók kihasználták a lakosság érdeklődését a járvány terjedésével és a megtett intézkedésekkel kapcsolatos információk iránt. Rengeteg különféle besúgó, speciális alkalmazás és hamis oldal jelent meg az interneten, amelyek kompromittálják a felhasználókat, adatokat lopnak, időnként pedig titkosítják az eszköz tartalmát, és váltságdíjat követelnek. Pontosan ezt teszi a Coronavirus Tracker mobilalkalmazás, amely blokkolja a hozzáférést az eszközhöz, és váltságdíjat követel.
A rosszindulatú programok terjedésének külön problémája volt a pénzügyi támogatási intézkedésekkel való összekeveredés. A kormány számos országban segítséget és támogatást ígért az átlagpolgároknak és az üzleti élet képviselőinek a járvány idején. És szinte sehol sem egyszerű és átlátható ez a segítség. Sőt, sokan reménykednek abban, hogy anyagilag is segítik őket, de nem tudják, hogy felkerülnek-e az állami támogatásban részesülők listájára vagy sem. Azok pedig, akik már kaptak valamit az államtól, valószínűleg nem utasítják el a további segítséget.
Pontosan ezt használják ki a támadók. Leveleket küldenek a bankok, a pénzügyi szabályozók és a társadalombiztosítási hatóságok nevében, felajánlva segítséget. Csak követni kell a linket...
Nem nehéz kitalálni, hogy egy kétes címre kattintás után az ember egy adathalász oldalra kerül, ahol megkérik, hogy adja meg pénzügyi adatait. Leggyakrabban egy webhely megnyitásával egyidejűleg a támadók személyes adatok és különösen pénzügyi információk ellopását célzó trójai programmal próbálják megfertőzni a számítógépet. Néha egy e-mail melléklet tartalmaz egy jelszóval védett fájlt, amely „fontos információkat tartalmaz arról, hogyan kaphat állami támogatást” spyware vagy ransomware formájában.
Emellett a közelmúltban az Infostealer kategóriából származó programok is elkezdtek terjedni a közösségi oldalakon. Például, ha le szeretne tölteni valamilyen legitim Windows-segédprogramot, mondjuk a wisecleaner[.]best, az Infostealer a csomagban lehet. A linkre kattintva a felhasználó egy letöltőt kap, amely a segédprogrammal együtt letölti a rosszindulatú programokat, és a letöltési forrás az áldozat számítógépének konfigurációjától függően kerül kiválasztásra.
2022. koronavírus
Miért mentünk végig ezen az egész kiránduláson? Az tény, hogy az új kártevő, amelynek készítői nem sokat gondolkodtak a néven, most minden jót magába szívott, és egyszerre kétféle támadással örvendezteti meg az áldozatot. Az egyik oldalon a titkosító program (CoronaVirus), a másik oldalon a KPOT infostealer van betöltve.
CoronaVirus ransomware
Maga a zsarolóprogram egy kis, 44 KB méretű fájl. A fenyegetés egyszerű, de hatékony. A végrehajtható fájl véletlenszerű néven másolja magát ide %AppData%LocalTempvprdh.exe, és beállítja a kulcsot is a rendszerleíró adatbázisban WindowsCurrentVersionRun. A másolat elhelyezése után az eredeti törlődik.
A legtöbb zsarolóprogramhoz hasonlóan a CoronaVirus is megpróbálja törölni a helyi biztonsági másolatokat és letiltani a fájlok árnyékolását a következő rendszerparancsok futtatásával:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Ezután a szoftver megkezdi a fájlok titkosítását. Minden titkosított fájl neve tartalmazni fogja [email protected]__ az elején, és minden más marad a régiben.
Ezenkívül a ransomware megváltoztatja a C meghajtó nevét CoronaVirusra.
Minden könyvtárban, amelyet a vírusnak sikerült megfertőznie, megjelenik egy CoronaVirus.txt fájl, amely fizetési utasításokat tartalmaz. A váltságdíj mindössze 0,008 bitcoin vagy körülbelül 60 dollár. Meg kell mondanom, ez egy nagyon szerény adat. És itt vagy az a lényeg, hogy a szerző nem tűzte ki maga elé a nagyon meggazdagodást..., vagy éppen ellenkezőleg, úgy döntött, hogy ez egy kiváló összeg, amit minden elszigetelten otthon ülő felhasználó ki tud fizetni. Egyetértek azzal, hogy ha nem tud kimenni a szabadba, akkor 60 dollár azért, hogy újra működjön a számítógépe, nem olyan sok.
Ezenkívül az új Ransomware egy kis DOS futtatható fájlt ír az ideiglenes fájlok mappájába, és regisztrálja a rendszerleíró adatbázisban a BootExecute kulcs alatt, így a fizetési utasítások megjelennek a számítógép következő újraindításakor. A rendszerbeállításoktól függően előfordulhat, hogy ez az üzenet nem jelenik meg. Miután azonban az összes fájl titkosítása befejeződött, a számítógép automatikusan újraindul.
KPOT infostealer
Ez a Ransomware KPOT spyware-t is tartalmaz. Ez az infolopó sütiket és mentett jelszavakat tud ellopni különféle böngészőkből, valamint számítógépre telepített játékokból (beleértve a Steam), a Jabber és a Skype azonnali üzenetküldőit is. Érdeklődési területe az FTP és a VPN hozzáférési adatai is. Miután elvégezte a dolgát, és mindent ellopott, amit csak tudott, a kém a következő paranccsal törli magát:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ez már nem csak Ransomware
Ez a támadás, amely ismét a koronavírus-járvány témájához kapcsolódik, ismét bizonyítja, hogy a modern ransomware nem csak a fájlok titkosítására törekszik. Ebben az esetben az áldozat fennáll annak a veszélye, hogy ellopják a különböző webhelyek és portálok jelszavait. Az olyan erősen szervezett kiberbűnözői csoportok, mint a Maze és a DoppelPaymer, ügyesek lettek az ellopott személyes adatok felhasználásában a felhasználók zsarolására, ha nem akarnak fizetni a fájlok helyreállításáért. Valójában hirtelen nem annyira fontosak, vagy a felhasználónak van olyan biztonsági rendszere, amely nem érzékeny a Ransomware támadásokra.
Egyszerűsége ellenére az új CoronaVirus egyértelműen bizonyítja, hogy a kiberbűnözők is keresik a bevételeiket, és további bevételszerzési lehetőségeket keresnek. Maga a stratégia nem új keletű – az Acronis elemzői már évek óta figyelik a ransomware támadásokat, amelyek pénzügyi trójaiakat is ültetnek az áldozat számítógépére. Ezenkívül a modern körülmények között a ransomware támadás általában szabotázsként szolgálhat, hogy elterelje a figyelmet a támadók fő céljáról - az adatszivárgásról.
Így vagy úgy, az ilyen fenyegetésekkel szembeni védelem csak a kibervédelem integrált megközelítésével érhető el. A modern biztonsági rendszerek pedig könnyedén blokkolják az ilyen fenyegetéseket (és mindkét összetevőjüket), még azelőtt, hogy elkezdenének heurisztikus algoritmusokat használni gépi tanulási technológiákat használva. Ha integrálva van egy biztonsági mentési/katasztrófa-helyreállítási rendszerrel, az első sérült fájlok azonnal visszaállnak.
Az érdeklődők számára az IoC-fájlok hash-összegei:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
A felmérésben csak regisztrált felhasználók vehetnek részt. , kérem.
Tapasztalt már egyidejű titkosítást és adatlopást?
-
19,0%Igen 4
-
42,9%No9
-
28,6%Óvatosabbnak kell lennünk6
-
9,5%Nem is gondoltam rá 2
21 felhasználó szavazott. 5 felhasználó tartózkodott.
Forrás: will.com