Varie minacce che utilizzano temi legati al coronavirus continuano ad apparire online. E oggi vogliamo condividere informazioni su un caso interessante che dimostra chiaramente il desiderio degli aggressori di massimizzare i propri profitti. La minaccia della categoria “2 in 1” si autodefinisce CoronaVirus. E le informazioni dettagliate sul malware sono sotto taglio.
Lo sfruttamento del tema del coronavirus è iniziato più di un mese fa. Gli aggressori hanno approfittato dell'interesse del pubblico per le informazioni sulla diffusione della pandemia e sulle misure adottate. Su Internet sono apparsi numerosi informatori diversi, applicazioni speciali e siti falsi che compromettono gli utenti, rubano dati e talvolta crittografano il contenuto del dispositivo e richiedono un riscatto. Questo è esattamente ciò che fa l’app mobile Coronavirus Tracker, bloccando l’accesso al dispositivo e chiedendo un riscatto.
Un altro problema legato alla diffusione del malware è stata la confusione con le misure di sostegno finanziario. In molti paesi, il governo ha promesso assistenza e sostegno ai cittadini comuni e ai rappresentanti delle imprese durante la pandemia. E quasi da nessuna parte ricevere questo aiuto è semplice e trasparente. Inoltre, molti sperano di essere aiutati finanziariamente, ma non sanno se saranno inclusi nella lista di coloro che riceveranno o meno i sussidi statali. E coloro che hanno già ricevuto qualcosa dallo Stato difficilmente rifiuteranno ulteriori aiuti.
Questo è esattamente ciò di cui approfittano gli aggressori. Inviano lettere per conto di banche, regolatori finanziari e autorità di previdenza sociale, offrendo aiuto. Ti basterà seguire il link...
Non è difficile intuire che una persona dopo aver cliccato su un indirizzo dubbio finisce su un sito di phishing dove gli viene chiesto di inserire i suoi dati finanziari. Molto spesso, contemporaneamente all'apertura di un sito web, gli aggressori tentano di infettare un computer con un programma trojan volto a rubare dati personali e, in particolare, informazioni finanziarie. A volte un allegato e-mail include un file protetto da password che contiene "informazioni importanti su come ottenere supporto governativo" sotto forma di spyware o ransomware.
Inoltre recentemente hanno cominciato a diffondersi sui social network anche programmi della categoria Infostealer. Ad esempio, se desideri scaricare qualche utilità Windows legittima, ad esempio Wisecleaner[.]best, Infostealer potrebbe essere fornito in bundle con essa. Facendo clic sul collegamento, l'utente riceve un downloader che scarica il malware insieme all'utilità e la fonte di download viene selezionata in base alla configurazione del computer della vittima.
CoronaVirus 2022
Perché abbiamo fatto tutta questa escursione? Il fatto è che il nuovo malware, i cui creatori non hanno pensato troppo a lungo al nome, ha semplicemente assorbito tutto il meglio e delizia la vittima con due tipi di attacchi contemporaneamente. Da un lato viene caricato il programma di crittografia (CoronaVirus) e dall'altro l'infostealer KPOT.
Ransomware CoronaVirus
Il ransomware stesso è un piccolo file che misura 44 KB. La minaccia è semplice ma efficace. Il file eseguibile si copia con un nome casuale in %AppData%LocalTempvprdh.exee imposta anche la chiave nel registro WindowsCurrentVersionRun. Una volta posizionata la copia, l'originale viene eliminato.
Come la maggior parte dei ransomware, CoronaVirus tenta di eliminare i backup locali e disabilitare lo shadowing dei file eseguendo i seguenti comandi di sistema:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Successivamente, il software inizia a crittografare i file. Il nome di ciascun file crittografato conterrà [email protected]__ all'inizio, e tutto il resto rimane lo stesso.
Inoltre, il ransomware cambia il nome dell'unità C in CoronaVirus.
In ogni directory che questo virus è riuscito a infettare appare un file CoronaVirus.txt che contiene le istruzioni di pagamento. Il riscatto è di soli 0,008 bitcoin o circa $ 60. Devo dire che questa è una cifra molto modesta. E qui il punto è che o l'autore non si è posto l'obiettivo di diventare molto ricco... o, al contrario, ha deciso che si trattava di un'ottima cifra che ogni utente seduto a casa in autoisolamento poteva pagare. D'accordo, se non puoi uscire, $ 60 per far funzionare di nuovo il tuo computer non sono tanti.
Inoltre, il nuovo ransomware scrive un piccolo file eseguibile DOS nella cartella dei file temporanei e lo registra nel registro sotto la chiave BootExecute in modo che le istruzioni di pagamento vengano visualizzate al successivo riavvio del computer. A seconda delle impostazioni del sistema, questo messaggio potrebbe non essere visualizzato. Tuttavia, una volta completata la crittografia di tutti i file, il computer si riavvierà automaticamente.
Infostealer KPOT
Questo ransomware include anche lo spyware KPOT. Questo infostealer può rubare cookie e password salvate da una varietà di browser, nonché da giochi installati su un PC (incluso Steam), Jabber e messaggistica istantanea Skype. La sua area di interesse comprende anche i dettagli di accesso per FTP e VPN. Dopo aver fatto il suo lavoro e aver rubato tutto ciò che poteva, la spia si cancella con il seguente comando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Non si tratta più solo di ransomware
Questo attacco, ancora una volta legato al tema della pandemia di coronavirus, dimostra ancora una volta che i moderni ransomware cercano di fare molto di più che limitarsi a crittografare i file. In questo caso la vittima corre il rischio che vengano rubate le password di vari siti e portali. Gruppi di criminali informatici altamente organizzati come Maze e DoppelPaymer sono diventati abili nell'utilizzare i dati personali rubati per ricattare gli utenti se non vogliono pagare per il recupero dei file. Infatti, all'improvviso non sono più così importanti, oppure l'utente dispone di un sistema di backup che non è suscettibile agli attacchi Ransomware.
Nonostante la sua semplicità, il nuovo CoronaVirus dimostra chiaramente che anche i criminali informatici stanno cercando di aumentare i propri guadagni e sono alla ricerca di ulteriori mezzi di monetizzazione. La strategia in sé non è nuova: ormai da diversi anni gli analisti di Acronis osservano attacchi ransomware che inseriscono anche trojan finanziari nel computer della vittima. Inoltre, nelle condizioni moderne, un attacco ransomware può generalmente fungere da sabotaggio per distogliere l'attenzione dall'obiettivo principale degli aggressori: la perdita di dati.
In un modo o nell’altro, la protezione contro tali minacce può essere ottenuta solo utilizzando un approccio integrato alla difesa informatica. E i moderni sistemi di sicurezza bloccano facilmente tali minacce (ed entrambi i loro componenti) anche prima che inizino a utilizzare algoritmi euristici che utilizzano tecnologie di apprendimento automatico. Se integrato con un sistema di backup/disaster recovery, i primi file danneggiati verranno immediatamente ripristinati.
Per chi è interessato, somme hash dei file IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Solo gli utenti registrati possono partecipare al sondaggio. Per favore.
Hai mai sperimentato la crittografia e il furto di dati simultanei?
-
19,0%Sì4
-
42,9%No9
-
28,6%Dovremo essere più vigili6
-
9,5%Non ci avevo nemmeno pensato2
21 utenti hanno votato. 5 utenti si sono astenuti.
Fonte: habr.com