디지털 코로나바이러스 - 랜섬웨어와 Infostealer의 결합

코로나바이러스를 주제로 한 다양한 위협이 온라인에 계속 나타나고 있습니다. 그리고 오늘 우리는 공격자가 이익을 극대화하려는 욕구를 명확하게 보여주는 흥미로운 사례에 대한 정보를 공유하고 싶습니다. "2-in-1" 범주의 위협은 스스로를 코로나바이러스(CoronaVirus)라고 부릅니다. 그리고 악성코드에 대한 자세한 정보는 공개되지 않았습니다.

코로나바이러스 테마의 활용은 한 달 이상 전부터 시작되었습니다. 공격자들은 전염병의 확산과 취해진 조치에 대한 정보에 대한 대중의 관심을 이용했습니다. 사용자를 손상시키고, 데이터를 훔치고, 때로는 장치의 콘텐츠를 암호화하고 몸값을 요구하는 수많은 정보 제공자, 특수 응용 프로그램 및 가짜 사이트가 인터넷에 나타났습니다. 이것이 바로 코로나바이러스 추적기(Coronavirus Tracker) 모바일 앱이 하는 일이며, 장치에 대한 접근을 차단하고 몸값을 요구합니다.

악성 코드 확산과 관련된 또 다른 문제는 재정 지원 조치와의 혼동이었습니다. 많은 국가에서 정부는 팬데믹 기간 동안 일반 시민과 기업 대표들에게 지원과 지원을 약속했습니다. 그리고 이 지원을 간단하고 투명하게 받는 곳은 거의 없습니다. 더욱이 경제적으로 도움이 되기를 바라지만, 정부 지원 대상자 명단에 포함되는지 여부는 알 수 없는 경우가 많다. 그리고 이미 국가로부터 무언가를 받은 사람들은 추가적인 도움을 거부할 가능성이 없습니다.

이것이 바로 공격자가 이용하는 것입니다. 그들은 은행, 금융 규제 기관, 사회 보장 기관을 대신하여 도움을 제공하는 편지를 보냅니다. 링크를 따라가시면 됩니다...

의심스러운 주소를 클릭한 후 피싱 사이트에 접속하여 금융 정보를 입력하라는 요청을 받는 것은 어렵지 않습니다. 대부분의 경우 공격자는 웹사이트를 여는 것과 동시에 개인 데이터, 특히 금융 정보를 훔치는 것을 목표로 하는 트로이 목마 프로그램으로 컴퓨터를 감염시키려고 합니다. 때때로 이메일 첨부 파일에는 스파이웨어나 랜섬웨어 형태로 "정부 지원을 받을 수 있는 방법에 대한 중요한 정보"가 포함된 비밀번호로 보호된 파일이 포함되어 있습니다.

또한 최근에는 Infostealer 카테고리의 프로그램도 소셜 네트워크에 확산되기 시작했습니다. 예를 들어,wisecleaner[.]best와 같은 합법적인 Windows 유틸리티를 다운로드하려는 경우 Infostealer가 번들로 제공될 수 있습니다. 링크를 클릭하면 사용자는 유틸리티와 함께 ​​악성코드를 다운로드하는 다운로더를 받게 되며, 다운로드 소스는 피해자의 컴퓨터 구성에 따라 선택됩니다.

코로나 바이러스 2022

우리는 왜 이 전체 여행을 하게 되었나요? 사실은 제작자가 이름에 대해 너무 오래 생각하지 않은 새로운 악성 코드가 방금 모든 최고를 흡수하고 한 번에 두 가지 유형의 공격으로 피해자를 기쁘게 한다는 것입니다. 한쪽에는 암호화 프로그램(CoronaVirus)이 탑재되고, 다른 쪽에는 KPOT 인포스틸러가 탑재된다.

코로나바이러스 랜섬웨어

랜섬웨어 자체는 44KB 크기의 작은 파일입니다. 위협은 간단하지만 효과적입니다. 실행 파일은 임의의 이름으로 자신을 복사합니다. %AppData%LocalTempvprdh.exe, 또한 레지스트리에 키를 설정합니다. WindowsCurrentVersionRun. 복사본이 배치되면 원본은 삭제됩니다.

대부분의 랜섬웨어와 마찬가지로 CoronaVirus는 다음 시스템 명령을 실행하여 로컬 백업을 삭제하고 파일 보관을 비활성화하려고 시도합니다.
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

다음으로 소프트웨어는 파일을 암호화하기 시작합니다. 암호화된 각 파일의 이름에는 다음이 포함됩니다. [email protected]__ 처음에는 다른 모든 것이 동일하게 유지됩니다.
또한 랜섬웨어는 C 드라이브의 이름을 CoronaVirus로 변경합니다.

이 바이러스가 감염시킨 각 디렉터리에는 지불 지침이 포함된 CoronaVirus.txt 파일이 나타납니다. 몸값은 0,008비트코인, 즉 약 60달러에 불과합니다. 나는 이것이 매우 겸손한 수치라고 말해야합니다. 그리고 여기서 요점은 저자가 매우 부자가 되겠다는 목표를 스스로 설정하지 않았거나 반대로 집에 앉아 격리된 모든 사용자가 지불할 수 있는 엄청난 금액이라고 결정했다는 것입니다. 동의하세요. 밖에 나갈 수 없다면 컴퓨터를 다시 작동시키는 데 60달러가 그다지 많지 않습니다.

또한, 새로운 랜섬웨어는 임시 파일 폴더에 작은 DOS 실행 파일을 작성하여 레지스트리의 BootExecute 키 아래에 등록하여 다음에 컴퓨터를 재부팅할 때 결제 지침이 표시되도록 합니다. 시스템 설정에 따라 이 메시지가 나타나지 않을 수 있습니다. 그러나 모든 파일의 암호화가 완료되면 컴퓨터가 자동으로 다시 시작됩니다.

KPOT 인포스틸러

이 랜섬웨어에는 KPOT 스파이웨어도 함께 제공됩니다. 이 인포스틸러는 다양한 브라우저뿐만 아니라 PC(Steam 포함)에 설치된 게임, Jabber 및 Skype 인스턴트 메신저에서도 쿠키와 저장된 비밀번호를 훔칠 수 있습니다. 그의 관심 영역에는 FTP 및 VPN에 대한 액세스 세부 정보도 포함됩니다. 작업을 완료하고 가능한 모든 것을 훔친 후 스파이는 다음 명령을 사용하여 자신을 삭제합니다.

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

더 이상 랜섬웨어만이 아니다

코로나바이러스 전염병이라는 주제와 다시 한 번 연결된 이 공격은 현대 랜섬웨어가 단순히 파일을 암호화하는 것 이상을 추구한다는 것을 다시 한 번 증명합니다. 이 경우 피해자는 다양한 사이트와 포털의 비밀번호를 도난당할 위험이 있습니다. Maze 및 DoppelPaymer와 같이 고도로 조직화된 사이버 범죄 그룹은 파일 복구 비용을 지불하지 않으려는 경우 훔친 개인 데이터를 사용하여 사용자를 협박하는 데 능숙해졌습니다. 실제로 갑자기 중요하지 않거나 사용자가 랜섬웨어 공격에 취약하지 않은 백업 시스템을 갖게 되었습니다.

단순함에도 불구하고, 새로운 코로나바이러스는 사이버 범죄자들이 수입 증대를 모색하고 추가적인 수익 창출 수단을 찾고 있다는 사실을 분명히 보여줍니다. 전략 자체는 새로운 것이 아닙니다. Acronis 분석가들은 몇 년 동안 피해자의 컴퓨터에 금융 트로이 목마를 심는 랜섬웨어 공격을 관찰해 왔습니다. 또한 현대 상황에서 랜섬웨어 공격은 일반적으로 공격자의 주요 목표인 데이터 유출로부터 주의를 돌리기 위한 방해 행위 역할을 할 수 있습니다.

어떤 방식으로든 이러한 위협으로부터 보호하려면 사이버 방어에 대한 통합 접근 방식을 통해서만 달성할 수 있습니다. 그리고 최신 보안 시스템은 기계 학습 기술을 사용하는 휴리스틱 알고리즘을 사용하기 전에도 이러한 위협(및 두 구성 요소 모두)을 쉽게 차단합니다. 백업/재해 복구 시스템과 통합되면 처음 손상된 파일이 즉시 복원됩니다.

관심 있는 분들을 위해 IoC 파일의 해시 합계:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

암호화와 데이터 도난이 동시에 발생한 경험이 있습니까?

• 19,0%예4

• 42,9%9

• 28,6%우리는 더욱 조심해야 합니다 6

• 9,5%생각지도 못했는데 2

21명의 사용자가 투표했습니다. 5명의 사용자가 기권했습니다.

출처 : habr.com