デジタル コロナウイルス - ランサムウェアとインフォスティーラーの組み合わせ

コロナウイルスをテーマにしたさまざまな脅威がオンラインで引き続き出現しています。 そして今日は、利益を最大化したいという攻撃者の意図を明確に示す 2 つの興味深い事例に関する情報を共有したいと思います。 「1-in-XNUMX」カテゴリの脅威は、自らをコロナウイルスと呼びます。 そして、マルウェアに関する詳細情報は公開されていません。

コロナウイルスをテーマにした悪用は XNUMX か月以上前に始まりました。 攻撃者は、パンデミックの蔓延と講じられた対策に関する情報に対する国民の関心を利用しました。 膨大な数のさまざまな情報提供者、特別なアプリケーション、偽サイトがインターネット上に出現し、ユーザーを侵害し、データを盗み、場合によってはデバイスのコンテンツを暗号化して身代金を要求しています。 これはまさに、Coronavirus Tracker モバイル アプリの動作であり、デバイスへのアクセスをブロックし、身代金を要求します。

マルウェアの蔓延の別の問題として、財政支援策との混乱があった。 多くの国で、政府はパンデミックの間、一般国民や企業代表者への支援と支援を約束している。 そして、この支援を簡単かつ透明性をもって受けているところはほとんどありません。 さらに、多くの人は経済的な援助を期待しているが、政府の補助金を受け取る対象者のリストに自分たちが含まれているかどうかは分からない。 そして、すでに国から何かを受けている人は、追加の援助を拒否する可能性は低いです。

これはまさに攻撃者が利用するものです。 彼らは銀行、金融規制当局、社会保障当局に代わって手紙を送り、支援を申し出ています。 リンクをたどるだけで...

疑わしいアドレスをクリックした後、フィッシング サイトに誘導され、そこで財務情報の入力を求められることは想像に難くありません。 ほとんどの場合、攻撃者は Web サイトを開くと同時に、個人データ、特に金融情報を盗むことを目的としたトロイの木馬プログラムをコンピュータに感染させようとします。 電子メールの添付ファイルには、スパイウェアやランサムウェアの形式で「政府のサポートを受ける方法に関する重要な情報」が含まれる、パスワードで保護されたファイルが含まれる場合があります。

さらに、最近では、Infostealer カテゴリのプログラムもソーシャル ネットワーク上で拡散し始めています。 たとえば、wisecleaner[.]best などの正規の Windows ユーティリティをダウンロードしたい場合、Infostealer がバンドルされている可能性があります。 リンクをクリックすると、ユーザーはユーティリティとともにマルウェアをダウンロードするダウンローダーを受け取ります。ダウンロード ソースは被害者のコンピュータの構成に応じて選択されます。

コロナウイルス2022

なぜ私たちはこのツアー全体を行ったのでしょうか? 実際のところ、作成者が名前についてあまり深く考えなかったこの新しいマルウェアは、すべての利点を吸収し、一度に XNUMX 種類の攻撃で被害者を喜ばせています。 一方では暗号化プログラム (CoronaVirus) がロードされ、もう一方では KPOT infostealer がロードされます。

CoronaVirusランサムウェア

ランサムウェア自体は 44KB の小さなファイルです。 脅威は単純ですが効果的です。 実行可能ファイルは、ランダムな名前で自分自身をコピーします。 %AppData%LocalTempvprdh.exe、またレジストリにキーを設定します WindowsCurrentVersionRun。 コピーが配置されると、オリジナルは削除されます。

ほとんどのランサムウェアと同様に、CoronaVirus は次のシステム コマンドを実行して、ローカル バックアップを削除し、ファイル シャドウイングを無効にしようとします。
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

次に、ソフトウェアはファイルの暗号化を開始します。 各暗号化ファイルの名前には次のものが含まれます。 [email protected]__ 最初はそのままで、他はすべて同じままです。
さらに、ランサムウェアは C ドライブの名前をCoronaVirus に変更します。

このウイルスが感染した各ディレクトリには、支払い指示が含まれたCoronaVirus.txtファイルが表示されます。 身代金はわずか 0,008 ビットコイン、つまり約 60 ドルです。 これは非常に控えめな数字であると言わざるを得ません。 そしてここで重要なのは、著者が大金持ちになるという目標を自分自身に設定していなかったということです...あるいは逆に、これは自己隔離中で自宅に座っているすべてのユーザーが支払うことができる素晴らしい金額であると彼が判断したということです。 同意します。外出できない場合、コンピューターを再び動作させるのに 60 ドルはそれほど高くありません。

さらに、新しいランサムウェアは、一時ファイル フォルダーに小さな DOS 実行可能ファイルを書き込み、それをレジストリの BootExecute キーの下に登録して、次回コンピューターを再起動したときに支払い指示が表示されるようにします。 システムの設定によっては、このメッセージが表示されない場合があります。 ただし、すべてのファイルの暗号化が完了すると、コンピューターは自動的に再起動します。

KPOT インフォスティーラー

このランサムウェアには、KPOT スパイウェアも付属しています。 このインフォスティーラーは、さまざまなブラウザだけでなく、PC にインストールされているゲーム (Steam を含む)、Jabber、Skype インスタント メッセンジャーから Cookie や保存されたパスワードを盗むことができます。 彼の興味のある分野には、FTP と VPN のアクセスの詳細も含まれます。 任務を遂行し、盗めるものはすべて盗んだ後、スパイは次のコマンドで自分自身を削除します。

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

もはやランサムウェアだけではない

この攻撃は、再びコロナウイルスのパンデミックというテーマに結びついており、現代のランサムウェアがファイルを暗号化するだけではないことを改めて証明しています。 この場合、被害者はさまざまなサイトやポータルのパスワードが盗まれる危険があります。 Maze や DoppelPaymer などの高度に組織化されたサイバー犯罪グループは、ファイル回復の費用を払いたくないユーザーを脅迫するために、盗んだ個人データを使用することに熟達しています。 実際、それらは突然それほど重要でなくなり、ユーザーがランサムウェア攻撃を受けにくいバックアップ システムを持っている場合もあります。

その単純さにもかかわらず、新型コロナウイルスは、サイバー犯罪者も収入を増やそうとし、追加の収益化手段を探していることを明確に示しています。 この戦略自体は新しいものではありません。アクロニスのアナリストは数年前から、被害者のコンピュータに金融系トロイの木馬を仕掛けるランサムウェア攻撃を観察してきました。 さらに、現代の状況では、ランサムウェア攻撃は一般に、攻撃者の主な目的であるデータ漏洩から注意をそらすための妨害行為として機能する可能性があります。

いずれにせよ、このような脅威に対する保護は、サイバー防御への統合アプローチを使用することによってのみ達成できます。 そして、現代のセキュリティ システムは、機械学習テクノロジーを使用したヒューリスティック アルゴリズムを使用し始める前であっても、そのような脅威 (およびその両方のコンポーネント) を簡単にブロックします。 バックアップ/災害復旧システムと統合されている場合、最初に破損したファイルはすぐに復元されます。

興味のある方のために、IoC ファイルのハッシュ和を示します。

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

暗号化とデータ盗難を同時に経験したことがありますか?

• 視聴者の３８%がはい4

• 視聴者の３８%がNo9

• 視聴者の３８%が私たちはさらに警戒する必要があります6

• 視聴者の３８%が考えもしなかった2

21 人のユーザーが投票しました。 5名のユーザーが棄権した。

出所： habr.com