Berbagai ancaman bertema virus corona terus bermunculan secara online. Dan hari ini kami ingin berbagi informasi tentang satu contoh menarik yang dengan jelas menunjukkan keinginan penyerang untuk memaksimalkan keuntungan mereka. Ancaman dari kategori β2-in-1β menamakan dirinya CoronaVirus. Dan informasi rinci tentang malware tersebut masih dalam tahap pemotongan.
Eksploitasi tema virus corona dimulai lebih dari sebulan yang lalu. Para penyerang memanfaatkan ketertarikan masyarakat terhadap informasi tentang penyebaran pandemi dan tindakan yang diambil. Sejumlah besar informan berbeda, aplikasi khusus, dan situs palsu telah muncul di Internet yang membahayakan pengguna, mencuri data, dan terkadang mengenkripsi konten perangkat dan meminta uang tebusan. Hal inilah yang dilakukan oleh aplikasi seluler Pelacak Virus Corona, yaitu memblokir akses ke perangkat dan meminta uang tebusan.
Masalah terpisah dalam penyebaran malware adalah kebingungan dalam langkah-langkah dukungan keuangan. Di banyak negara, pemerintah telah menjanjikan bantuan dan dukungan kepada masyarakat umum dan perwakilan dunia usaha selama pandemi ini. Dan hampir tidak ada tempat yang menerima bantuan ini secara sederhana dan transparan. Apalagi, banyak yang berharap mereka terbantu secara finansial, namun tidak mengetahui apakah mereka termasuk dalam daftar penerima subsidi pemerintah atau tidak. Dan mereka yang telah menerima sesuatu dari negara kemungkinan besar tidak akan menolak bantuan tambahan.
Hal inilah yang dimanfaatkan oleh para penyerang. Mereka mengirim surat atas nama bank, regulator keuangan dan otoritas jaminan sosial, menawarkan bantuan. Anda hanya perlu mengikuti tautannya...
Tidak sulit untuk menebak bahwa setelah mengklik alamat yang meragukan, seseorang berakhir di situs phishing di mana dia diminta memasukkan informasi keuangannya. Paling sering, bersamaan dengan membuka situs web, penyerang mencoba menginfeksi komputer dengan program Trojan yang bertujuan mencuri data pribadi dan, khususnya, informasi keuangan. Terkadang lampiran email menyertakan file yang dilindungi kata sandi yang berisi βinformasi penting tentang bagaimana Anda bisa mendapatkan dukungan pemerintahβ dalam bentuk spyware atau ransomware.
Selain itu, belakangan ini program-program berkategori Infostealer juga mulai merambah di media sosial. Misalnya, jika Anda ingin mengunduh beberapa utilitas Windows yang sah, katakanlah wisecleaner[.]best, Infostealer mungkin disertakan dengannya. Dengan mengklik tautan tersebut, pengguna menerima pengunduh yang mengunduh malware beserta utilitasnya, dan sumber unduhan dipilih tergantung pada konfigurasi komputer korban.
Virus Corona 2022
Mengapa kita melakukan seluruh perjalanan ini? Faktanya adalah malware baru, yang pembuatnya tidak terlalu memikirkan namanya, baru saja menyerap semua yang terbaik dan menyenangkan korbannya dengan dua jenis serangan sekaligus. Di satu sisi, program enkripsi (CoronaVirus) dimuat, dan di sisi lain, infostealer KPOT.
Virus Corona ransomware
Ransomwarenya sendiri berupa file kecil berukuran 44KB. Ancamannya sederhana namun efektif. File yang dapat dieksekusi menyalin dirinya sendiri dengan nama acak ke %AppData%LocalTempvprdh.exe, dan juga menyetel kunci dalam registri WindowsCurrentVersionRun. Setelah salinannya ditempatkan, yang asli dihapus.
Seperti kebanyakan ransomware, CoronaVirus mencoba menghapus cadangan lokal dan menonaktifkan bayangan file dengan menjalankan perintah sistem berikut:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Selanjutnya, perangkat lunak mulai mengenkripsi file. Nama setiap file terenkripsi akan berisi [email protected]__ di awal, dan yang lainnya tetap sama.
Selain itu, ransomware mengubah nama drive C menjadi CoronaVirus.
Di setiap direktori yang berhasil terinfeksi virus ini, muncul file CoronaVirus.txt yang berisi petunjuk pembayaran. Tebusannya hanya 0,008 bitcoin atau sekitar $60. Saya harus mengatakan, ini adalah angka yang sangat sederhana. Dan di sini intinya adalah penulis tidak menetapkan tujuan untuk menjadi sangat kaya... atau, sebaliknya, dia memutuskan bahwa ini adalah jumlah yang sangat besar yang dapat dibayar oleh setiap pengguna yang duduk di rumah dalam isolasi diri. Setuju, jika Anda tidak bisa keluar rumah, maka $60 untuk membuat komputer Anda berfungsi kembali tidaklah terlalu mahal.
Selain itu, Ransomware baru menulis file kecil DOS yang dapat dieksekusi di folder file sementara dan mendaftarkannya di registri dengan kunci BootExecute sehingga instruksi pembayaran akan ditampilkan saat komputer di-boot ulang lagi. Tergantung pada pengaturan sistem, pesan ini mungkin tidak muncul. Namun, setelah enkripsi semua file selesai, komputer akan restart secara otomatis.
Pencuri informasi KPOT
Ransomware ini juga dilengkapi dengan spyware KPOT. Pencuri info ini dapat mencuri cookie dan kata sandi yang disimpan dari berbagai browser, serta dari game yang diinstal di PC (termasuk Steam), pesan instan Jabber dan Skype. Bidang minatnya juga mencakup detail akses untuk FTP dan VPN. Setelah melakukan tugasnya dan mencuri semua yang bisa dilakukannya, mata-mata itu menghapus dirinya sendiri dengan perintah berikut:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ini bukan hanya Ransomware lagi
Serangan ini, sekali lagi terkait dengan tema pandemi virus corona, sekali lagi membuktikan bahwa ransomware modern berupaya melakukan lebih dari sekadar mengenkripsi file Anda. Dalam kasus ini, korban berisiko dicuri kata sandi ke berbagai situs dan portal. Kelompok penjahat dunia maya yang sangat terorganisir seperti Maze dan DoppelPaymer telah mahir menggunakan data pribadi yang dicuri untuk memeras pengguna jika mereka tidak mau membayar untuk pemulihan file. Memang tiba-tiba mereka tidak begitu penting, atau pengguna memiliki sistem cadangan yang tidak rentan terhadap serangan Ransomware.
Meskipun sederhana, CoronaVirus baru dengan jelas menunjukkan bahwa penjahat dunia maya juga berupaya meningkatkan pendapatan mereka dan mencari cara tambahan untuk menghasilkan uang. Strategi ini sendiri bukanlah hal baruβselama beberapa tahun ini, analis Acronis telah mengamati serangan ransomware yang juga menanamkan Trojan finansial di komputer korban. Selain itu, dalam kondisi modern, serangan ransomware umumnya dapat berfungsi sebagai sabotase untuk mengalihkan perhatian dari tujuan utama penyerang β kebocoran data.
Dengan satu atau lain cara, perlindungan terhadap ancaman semacam itu hanya dapat dicapai melalui pendekatan pertahanan siber yang terintegrasi. Dan sistem keamanan modern dengan mudah memblokir ancaman tersebut (dan kedua komponennya) bahkan sebelum ancaman tersebut mulai menggunakan algoritma heuristik menggunakan teknologi pembelajaran mesin. Jika terintegrasi dengan sistem backup/pemulihan bencana, file pertama yang rusak akan segera dipulihkan.
Bagi yang berminat, jumlah hash file IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Pernahkah Anda mengalami enkripsi dan pencurian data secara bersamaan?
-
19,0%Ya4
-
42,9%No9
-
28,6%Kita harus lebih waspada6
-
9,5%Saya bahkan tidak memikirkannya2
21 pengguna memilih. 5 pengguna abstain.
Sumber: www.habr.com