וירוס קורונה דיגיטלי - שילוב של תוכנות כופר וגניבת מידע

איומים שונים המשתמשים בנושאי קורונה ממשיכים להופיע באינטרנט. והיום אנחנו רוצים לשתף מידע על מקרה מעניין אחד שממחיש בבירור את הרצון של התוקפים למקסם את הרווחים שלהם. האיום מקטגוריית "2 ב-1" קורא לעצמו CoronaVirus. ומידע מפורט על התוכנה הזדונית נמצא תחת חתך.

ניצול נושא הקורונה החל לפני יותר מחודש. התוקפים ניצלו את עניין הציבור במידע על התפשטות המגיפה והאמצעים שננקטו. באינטרנט הופיעו מספר עצום של מלשינים שונים, אפליקציות מיוחדות ואתרים מזויפים שפוגעים במשתמשים, גונבים נתונים ולעיתים מצפינים את תוכן המכשיר ודורשים כופר. זה בדיוק מה שעושה אפליקציית Coronavirus Tracker לנייד, חוסמת את הגישה למכשיר ודורשת כופר.

נושא נפרד להפצת תוכנות זדוניות היה הבלבול עם אמצעי תמיכה פיננסיים. במדינות רבות, הממשלה הבטיחה סיוע ותמיכה לאזרחים מן השורה ולנציגי עסקים במהלך המגיפה. וכמעט בשום מקום לא מקבלים את הסיוע הזה פשוט ושקוף. יתרה מכך, רבים מקווים שיעזרו להם כלכלית, אך אינם יודעים אם הם נכללים ברשימת מי שיקבלו סובסידיות ממשלתיות או לא. ומי שכבר קיבל משהו מהמדינה לא סביר שיסרב לעזרה נוספת.

זה בדיוק מה שתוקפים מנצלים. הם שולחים מכתבים בשם בנקים, רגולטורים פיננסיים ורשויות ביטוח לאומי, ומציעים עזרה. אתה רק צריך להיכנס לקישור...

לא קשה לנחש שאחרי לחיצה על כתובת מפוקפקת, אדם מגיע לאתר פישינג בו הוא מתבקש להזין את המידע הפיננסי שלו. לרוב, במקביל לפתיחת אתר אינטרנט, תוקפים מנסים להדביק מחשב בתוכנית טרויאנית שמטרתה לגנוב נתונים אישיים ובפרט מידע פיננסי. לפעמים קובץ מצורף למייל כולל קובץ מוגן בסיסמה המכיל "מידע חשוב על איך אתה יכול לקבל תמיכה ממשלתית" בצורה של תוכנות ריגול או כופר.

בנוסף, לאחרונה החלו להתפשט תוכניות מקטגוריית Infostealer גם ברשתות החברתיות. לדוגמה, אם ברצונך להוריד כלי עזר לגיטימי של Windows, נניח wisecleaner[.]best, ייתכן ש-Infostealer יגיע יחד איתו. על ידי לחיצה על הקישור, המשתמש מקבל הורדה שמוריד תוכנה זדונית יחד עם כלי השירות, ומקור ההורדה נבחר בהתאם לתצורת המחשב של הקורבן.

וירוס קורונה 2022

למה עברנו את כל הטיול הזה? העובדה היא שהתוכנה הזדונית החדשה, שיוצריה לא חשבו יותר מדי על השם, פשוט ספגה את כל הטוב ביותר ומשמחת את הקורבן בשני סוגי התקפות בבת אחת. מצד אחד, תוכנית ההצפנה (CoronaVirus) נטענת, ומצד שני, KPOT infostealer.

תוכנת רנסומור של CoronaVirus

תוכנת הכופר עצמה היא קובץ קטן בגודל 44KB. האיום פשוט אך יעיל. קובץ ההפעלה מעתיק את עצמו תחת שם אקראי ל %AppData%LocalTempvprdh.exe, וגם מגדיר את המפתח ברישום WindowsCurrentVersionRun. לאחר מיקום העותק, המקור נמחק.

כמו רוב תוכנות הכופר, CoronaVirus מנסה למחוק גיבויים מקומיים ולהשבית את הצללת קבצים על ידי הפעלת פקודות המערכת הבאות:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

לאחר מכן, התוכנה מתחילה להצפין קבצים. השם של כל קובץ מוצפן יכיל [email protected]__ בהתחלה, וכל השאר נשאר אותו הדבר.
בנוסף, תוכנת הכופר משנה את שם כונן C ל-CoronaVirus.

בכל ספרייה שהווירוס הזה הצליח להדביק מופיע קובץ CoronaVirus.txt המכיל הוראות תשלום. הכופר הוא רק 0,008 ביטקוין או כ-$60. אני חייב לומר שזה נתון צנוע מאוד. וכאן העניין הוא או שהכותב לא שם לעצמו למטרה להתעשר מאוד... או להיפך, הוא החליט שמדובר בסכום מצוין שכל משתמש שיושב בבית בבידוד עצמי יכול לשלם. מסכים, אם אתה לא יכול לצאת החוצה, אז 60 $ כדי להחזיר את המחשב שלך לעבודה זה לא כל כך הרבה.

בנוסף, תוכנת ה-Ransomware החדשה כותבת קובץ הפעלה קטן של DOS בתיקיית הקבצים הזמניים ורושמת אותו ברישום תחת מפתח BootExecute כך שהוראות תשלום יוצגו בפעם הבאה שהמחשב יופעל מחדש. בהתאם להגדרות המערכת, ייתכן שהודעה זו לא תופיע. עם זאת, לאחר השלמת ההצפנה של כל הקבצים, המחשב יופעל מחדש באופן אוטומטי.

גנב מידע של KPOT

תוכנת כופר זו מגיעה גם עם תוכנת ריגול KPOT. גנב מידע זה יכול לגנוב עוגיות וסיסמאות שמורות ממגוון דפדפנים, כמו גם ממשחקים המותקנים במחשב (כולל Steam), Jabber ו-Skype Instant Messengers. תחום העניין שלו כולל גם פרטי גישה ל-FTP ו-VPN. לאחר שעשה את עבודתו וגנב כל מה שהוא יכול, המרגל מוחק את עצמו עם הפקודה הבאה:

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

זה כבר לא רק תוכנת כופר

המתקפה הזו, שוב קשורה לנושא מגיפת הקורונה, מוכיחה שוב שתוכנת כופר מודרנית מבקשת לעשות יותר מאשר רק להצפין את הקבצים שלך. במקרה זה, הנפגע מסתכן בגניבת סיסמאות לאתרים ופורטלים שונים. קבוצות פושעי סייבר מאורגנות מאוד כמו Maze ו-DoppelPaymer הפכו מיומנות בשימוש בנתונים אישיים גנובים כדי לסחוט משתמשים אם הם לא רוצים לשלם עבור שחזור קבצים. ואכן, פתאום הם לא כל כך חשובים, או שלמשתמש יש מערכת גיבוי שאינה רגישה להתקפות Ransomware.

למרות הפשטות שלו, ה-CoronaVirus החדש מדגים בבירור שגם פושעי סייבר מבקשים להגדיל את הכנסתם ומחפשים אמצעים נוספים למונטיזציה. האסטרטגיה עצמה אינה חדשה - מזה מספר שנים, אנליסטים של Acronis צופים בהתקפות של תוכנות כופר שגם שותלות סוסים טרויאניים פיננסיים על המחשב של הקורבן. יתרה מכך, בתנאים מודרניים, מתקפת תוכנת כופר יכולה לשמש בדרך כלל כחבלה על מנת להסיט את תשומת הלב מהמטרה העיקרית של התוקפים – דליפת נתונים.

כך או אחרת, ניתן להשיג הגנה מפני איומים כאלה רק באמצעות גישה משולבת להגנת סייבר. ומערכות אבטחה מודרניות חוסמות בקלות איומים כאלה (ושני המרכיבים שלהם) עוד לפני שהן מתחילות להשתמש באלגוריתמים היוריסטיים תוך שימוש בטכנולוגיות למידת מכונה. אם משולבים עם מערכת גיבוי/שחזור מאסון, הקבצים הפגומים הראשונים ישוחזרו מיד.

למעוניינים, סכומי גיבוב של קבצי IoC:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

רק משתמשים רשומים יכולים להשתתף בסקר. להתחברבבקשה.

האם אי פעם חווית הצפנה סימולטנית וגניבת נתונים?

• 19,0%כן4

• 42,9%מספר 9

• 28,6%נצטרך להיות יותר ערניים6

• 9,5%אפילו לא חשבתי על זה2

21 משתמשים הצביעו. 5 משתמשים נמנעו.

מקור: www.habr.com