Macem-macem ancaman nggunakake tema coronavirus terus katon online. Lan dina iki kita pengin nuduhake informasi babagan siji conto menarik sing jelas nuduhake kepinginan para panyerang kanggo nggedhekake bathi. Ancaman saka kategori "2-in-1" kasebut diarani CoronaVirus. Lan informasi rinci babagan malware kasebut dikurangi.
Eksploitasi tema koronavirus diwiwiti luwih saka wulan kepungkur. Para panyerang njupuk kauntungan saka kapentingan umum kanggo informasi babagan panyebaran pandemi lan langkah-langkah sing ditindakake. Akeh macem-macem informan, aplikasi khusus lan situs palsu wis muncul ing Internet sing kompromi pangguna, nyolong data, lan kadhangkala ndhelik isi piranti lan njaluk tebusan. Iki persis apa sing ditindakake aplikasi seluler Coronavirus Tracker, ngalangi akses menyang piranti kasebut lan njaluk tebusan.
Masalah sing kapisah kanggo panyebaran malware yaiku kebingungan karo langkah dhukungan finansial. Ing pirang-pirang negara, pamrentah wis janji bantuan lan dhukungan kanggo warga biasa lan wakil bisnis nalika pandemi. Lan meh ora ana sing nampa pitulungan iki kanthi gampang lan transparan. Kajaba iku, akeh sing ngarep-arep supaya bisa dibantu kanthi finansial, nanging ora ngerti apa dheweke kalebu ing dhaptar sing bakal nampa subsidi pemerintah apa ora. Lan wong-wong sing wis nampa soko saka negara ora kamungkinan kanggo nolak bantuan tambahan.
Iki persis apa sing dimanfaatake para penyerang. Dheweke ngirim layang atas jenenge bank, regulator finansial lan panguwasa keamanan sosial, menehi bantuan. Sampeyan mung kudu ngetutake link ...
Iku ora angel kanggo guess sing sawise ngeklik ing alamat dubious, wong ends munggah ing situs phishing ngendi kang dijaluk ngetik informasi financial. Paling asring, bebarengan karo mbukak situs web, panyerang nyoba nginfèksi komputer nganggo program Trojan sing ngarahake nyolong data pribadhi lan, utamane, informasi finansial. Kadhangkala lampiran email kalebu file sing dilindhungi sandi sing ngemot "informasi penting babagan carane sampeyan bisa njaluk dhukungan pemerintah" ing wangun spyware utawa ransomware.
Kajaba iku, bubar program saka kategori Infostealer uga wiwit nyebar ing jaringan sosial. Contone, yen sampeyan pengin ngundhuh sawetara sarana Windows sah, ngandika wisecleaner[.]paling apik, Infostealer uga teka bundled karo. Kanthi ngeklik link kasebut, pangguna nampa downloader sing ndownload malware bebarengan karo sarana, lan sumber download dipilih gumantung saka konfigurasi komputer korban.
Coronavirus 2022
Yagene kita ngliwati kabeh wisata iki? Kasunyatane yaiku malware anyar, sing nggawe sing ora mikir dawa babagan jeneng kasebut, mung nyerep kabeh sing paling apik lan nyenengake korban kanthi rong jinis serangan sekaligus. Ing sisih siji, program enkripsi (CoronaVirus) dimuat, lan ing sisih liyane, KPOT infostealer.
KoronaVirus ransomware
Ransomware dhewe yaiku file cilik sing ukurane 44KB. Ancaman kasebut prasaja nanging efektif. File eksekusi salinan dhewe ing jeneng acak kanggo %AppData%LocalTempvprdh.exe, lan uga nyetel kunci ing pendaptaran WindowsCurrentVersionRun. Sawise salinan diselehake, asli bakal dibusak.
Kaya ransomware umume, CoronaVirus nyoba mbusak serep lokal lan mateni bayangan file kanthi nggunakake perintah sistem ing ngisor iki:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Sabanjure, piranti lunak wiwit ndhelik file. Jeneng saben file sing dienkripsi bakal ngemot [email protected]__ ing wiwitan, lan kabeh liya tetep padha.
Kajaba iku, ransomware ngganti jeneng drive C dadi CoronaVirus.
Ing saben direktori sing bisa ditularake virus iki, file CoronaVirus.txt katon, sing ngemot instruksi pembayaran. Tebusan mung 0,008 bitcoin utawa kira-kira $60. Aku kudu ngomong, iki tokoh banget andhap asor. Lan ing kene titik kasebut yaiku manawa penulis ora nemtokake tujuane dadi sugih banget ... utawa, sebaliknya, dheweke mutusake manawa iki minangka jumlah sing bisa dibayar saben pangguna sing lungguh ing omah kanthi mandiri. Setuju, yen sampeyan ora bisa metu, banjur $60 supaya komputer bisa digunakake maneh ora akeh.
Kajaba iku, Ransomware anyar nulis file eksekusi DOS cilik ing folder file sauntara lan ndhaptar ing registri ing sangisore tombol BootExecute supaya instruksi pembayaran bakal ditampilake nalika komputer diwiwiti maneh. Gumantung ing setelan sistem, pesen iki bisa uga ora katon. Nanging, sawise enkripsi kabeh file rampung, komputer bakal diwiwiti maneh kanthi otomatis.
infostealer KPOT
Ransomware iki uga dilengkapi spyware KPOT. Infostealer iki bisa nyolong cookie lan sandhi sing disimpen saka macem-macem browser, uga saka game sing diinstal ing PC (kalebu Steam), Jabber lan Skype instant messenger. Wilayah kapentingane uga kalebu rincian akses kanggo FTP lan VPN. Sawise nindakake tugase lan nyolong kabeh sing bisa ditindakake, mata-mata kasebut mbusak dhewe kanthi prentah ing ngisor iki:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Iku ora mung Ransomware maneh
Serangan iki, sepisan maneh ana gandhengane karo tema pandemik coronavirus, maneh mbuktekake manawa ransomware modern ngupaya nindakake luwih saka mung ndhelik file sampeyan. Ing kasus iki, korban duwe risiko duwe sandhi menyang macem-macem situs lan portal sing dicolong. Klompok cybercriminal sing diatur banget kayata Maze lan DoppelPaymer wis dadi mahir nggunakake data pribadhi sing dicolong kanggo blackmail pangguna yen ora pengin mbayar pemulihan file. Pancen, dumadakan ora pati penting, utawa pangguna duwe sistem serep sing ora rentan kanggo serangan Ransomware.
Sanajan gampang, CoronaVirus anyar kanthi jelas nuduhake manawa para penjahat cyber uga ngupaya nambah penghasilan lan golek cara monetisasi tambahan. Strategi kasebut dudu anyar - nganti pirang-pirang taun, analis Acronis wis ngamati serangan ransomware sing uga nandur Trojan finansial ing komputer korban. Kajaba iku, ing kahanan modern, serangan ransomware umume bisa dadi sabotase kanggo ngalihake perhatian saka tujuan utama penyerang - kebocoran data.
Salah siji cara utawa liyane, pangayoman marang ancaman kasebut mung bisa digayuh kanthi nggunakake pendekatan terpadu kanggo pertahanan cyber. Lan sistem keamanan modern kanthi gampang mblokir ancaman kasebut (lan komponen loro kasebut) sanajan sadurunge nggunakake algoritma heuristik nggunakake teknologi pembelajaran mesin. Yen digabungake karo sistem serep/pemulihan bencana, file sing rusak pisanan bakal langsung dibalekake.
Kanggo sing kasengsem, jumlah hash file IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Mung pangguna pangguna sing bisa melu survey. nggih.
Apa sampeyan tau ngalami enkripsi simultan lan nyolong data?
-
19,0%inggih4
-
42,9%No9
-
28,6%Kita kudu luwih waspada6
-
9,5%Aku malah ora mikir2
21 pangguna milih. 5 kedhaftar abstained.
Source: www.habr.com