Diversi theddidiet li jużaw temi tal-koronavirus ikomplu jidhru online. U llum irridu naqsmu informazzjoni dwar eżempju wieħed interessanti li juri biċ-ċar ix-xewqa tal-attakkanti li jimmassimizzaw il-profitti tagħhom. It-theddida mill-kategorija "2-in-1" issejjaħ lilha nnifisha CoronaVirus. U informazzjoni dettaljata dwar il-malware hija taħt il-qatgħa.
L-isfruttament tat-tema tal-koronavirus beda aktar minn xahar ilu. L-attakkanti ħadu vantaġġ mill-interess tal-pubbliku fl-informazzjoni dwar it-tixrid tal-pandemija u l-miżuri meħuda. Fuq l-Internet dehru numru kbir ta 'informaturi differenti, applikazzjonijiet speċjali u siti foloz li jikkompromettu lill-utenti, jisirqu d-dejta, u xi drabi jikkriptaw il-kontenut tal-apparat u jitolbu fidwa. Dan huwa eżattament dak li tagħmel l-app mobbli Coronavirus Tracker, li timblokka l-aċċess għall-apparat u titlob fidwa.
Kwistjoni separata għat-tixrid tal-malware kienet il-konfużjoni mal-miżuri ta' appoġġ finanzjarju. F'ħafna pajjiżi, il-gvern wiegħed assistenza u appoġġ liċ-ċittadini ordinarji u lir-rappreżentanti tan-negozju matul il-pandemija. U kważi mkien mhu qed jirċievi din l-għajnuna sempliċi u trasparenti. Barra minn hekk, ħafna jittamaw li jiġu megħjuna finanzjarjament, iżda ma jafux jekk humiex inklużi fil-lista ta’ dawk li se jirċievu sussidji tal-gvern jew le. U dawk li diġà rċevew xi ħaġa mill-istat x'aktarx ma jirrifjutawx għajnuna addizzjonali.
Dan huwa eżattament dak li jattakkaw minnu. Huma jibagħtu ittri f'isem banek, regolaturi finanzjarji u awtoritajiet tas-sigurtà soċjali, li joffru għajnuna. Trid issegwi l-link...
Mhux diffiċli li wieħed isib li wara li tikklikkja fuq indirizz dubjuż, persuna tispiċċa fuq sit tal-phishing fejn tintalab idaħħal l-informazzjoni finanzjarja tagħha. Ħafna drabi, fl-istess ħin mal-ftuħ ta 'websajt, l-attakkanti jippruvaw jinfettaw kompjuter bi programm Trojan immirat biex jisraq data personali u, b'mod partikolari, informazzjoni finanzjarja. Xi drabi sekwestru ta’ email jinkludi fajl protett b’password li fih “informazzjoni importanti dwar kif tista’ tikseb l-appoġġ tal-gvern” fil-forma ta’ spyware jew ransomware.
Barra minn hekk, dan l-aħħar bdew jinfirxu wkoll programmi mill-kategorija Infostealer fuq in-netwerks soċjali. Pereżempju, jekk trid tniżżel xi utilità leġittima tal-Windows, ngħidu aħna wisecleaner[.]l-aħjar, Infostealer jista 'jkun miġbur magħha. Billi tikklikkja fuq il-link, l-utent jirċievi downloader li jniżżel il-malware flimkien mal-utilità, u s-sors tat-tniżżil jintgħażel skont il-konfigurazzjoni tal-kompjuter tal-vittma.
Koronavirus 2022
Għaliex għaddejna minn din l-eskursjoni kollha? Il-fatt hu li l-malware il-ġdid, li l-ħallieqa tiegħu ma ħasbux wisq dwar l-isem, għadu kemm assorbit l-aħjar u jferraħ lill-vittma b'żewġ tipi ta 'attakki f'daqqa. Fuq naħa waħda, il-programm ta 'encryption (CoronaVirus) huwa mgħobbi, u fuq l-oħra, KPOT infostealer.
Ransomware CoronaVirus
Ir-ransomware innifsu huwa fajl żgħir li jkejjel 44KB. It-theddida hija sempliċi iżda effettiva. Il-fajl eżekutibbli jikkopja lilu nnifsu taħt isem każwali għal %AppData%LocalTempvprdh.exe, u jistabbilixxi wkoll iċ-ċavetta fir-reġistru WindowsCurrentVersionRun. Ladarba titqiegħed il-kopja, l-oriġinal jitħassar.
Bħall-biċċa l-kbira tar-ransomware, CoronaVirus jipprova jħassar backups lokali u jiskonnettja l-fajl shadowing billi jħaddem il-kmandi tas-sistema li ġejjin:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Sussegwentement, is-softwer jibda jikkripta l-fajls. L-isem ta 'kull fajl encrypted se jkun fih [email protected]__ fil-bidu, u kull ħaġa oħra tibqa l-istess.
Barra minn hekk, ir-ransomware jibdel l-isem tas-C drive għal CoronaVirus.
F'kull direttorju li dan il-virus irnexxielu jinfetta, jidher fajl CoronaVirus.txt, li fih struzzjonijiet ta' ħlas. Il-fidwa hija biss 0,008 bitcoins jew madwar $60. Irrid ngħid, din hija figura modesta ħafna. U hawnhekk il-punt huwa jew li l-awtur ma stabbilixxax lilu nnifsu l-għan li jsir sinjur ħafna... jew, għall-kuntrarju, iddeċieda li dan kien ammont eċċellenti li kull utent bilqiegħda d-dar f’iżolament seta’ jħallas. Naqbel, jekk ma tistax tmur barra, allura $60 biex terġa 'taħdem il-kompjuter tiegħek mhux daqshekk.
Barra minn hekk, ir-Ransomware il-ġdid jikteb fajl eżekutibbli DOS żgħir fil-folder tal-fajls temporanji u jirreġistrah fir-reġistru taħt iċ-ċavetta BootExecute sabiex l-istruzzjonijiet tal-ħlas jintwerew il-ħin li jmiss li l-kompjuter jerġa 'jibda. Skont is-settings tas-sistema, dan il-messaġġ jista' ma jidhirx. Madankollu, wara li l-kriptaġġ tal-fajls kollha jkun komplut, il-kompjuter jerġa 'jibda awtomatikament.
KPOT infostealer
Dan Ransomware jiġi wkoll bi spyware KPOT. Dan l-infostealer jista’ jisraq cookies u passwords salvati minn varjetà ta’ browsers, kif ukoll minn logħob installat fuq PC (inkluż Steam), Jabber u Skype instant messengers. Il-qasam ta 'interess tiegħu jinkludi wkoll dettalji ta' aċċess għal FTP u VPN. Wara li għamel xogħlu u seraq dak kollu li jista ', l-ispjun iħassar lilu nnifsu bil-kmand li ġej:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
M'għadux biss Ransomware
Dan l-attakk, għal darb'oħra marbut mat-tema tal-pandemija tal-koronavirus, għal darb'oħra juri li r-ransomware modern jipprova jagħmel aktar milli sempliċement jikkripta l-fajls tiegħek. F'dan il-każ, il-vittma tirriskja li jkollha passwords għal diversi siti u portali misruqa. Gruppi ċiberkriminali organizzati ħafna bħal Maze u DoppelPaymer saru kapaċi jużaw data personali misruqa biex jirrikattaw lill-utenti jekk ma jridux iħallsu għall-irkupru tal-fajls. Tabilħaqq, f'daqqa waħda ma jkunux daqshekk importanti, jew l-utent għandu sistema ta 'backup li mhix suxxettibbli għal attakki ta' Ransomware.
Minkejja s-sempliċità tiegħu, il-CoronaVirus il-ġdid juri biċ-ċar li ċ-ċiberkriminali qed ifittxu wkoll li jżidu d-dħul tagħhom u qed ifittxu mezzi addizzjonali ta’ monetizzazzjoni. L-istrateġija nnifisha mhix ġdida—għal bosta snin issa, l-analisti ta 'Acronis ilhom josservaw attakki ta' ransomware li jħawlu wkoll Trojans finanzjarji fuq il-kompjuter tal-vittma. Barra minn hekk, f'kundizzjonijiet moderni, attakk ta 'ransomware jista' ġeneralment iservi bħala sabotaġġ sabiex jiddevja l-attenzjoni mill-għan ewlieni tal-attakkanti - tnixxija tad-dejta.
B'xi mod jew ieħor, il-protezzjoni kontra tali theddid tista' tinkiseb biss bl-użu ta' approċċ integrat għaċ-ċiberdifiża. U sistemi ta’ sigurtà moderni faċilment jimblukkaw tali theddid (u ż-żewġ komponenti tagħhom) anki qabel ma jibdew jużaw algoritmi euristiċi li jużaw teknoloġiji ta’ tagħlim bil-magni. Jekk integrat ma 'sistema ta' backup/irkupru minn diżastri, l-ewwel fajls bil-ħsara jiġu restawrati immedjatament.
Għal dawk interessati, somom hash tal-fajls IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. , ta 'xejn.
Qatt esperjenzajt kriptaġġ simultanju u serq tad-dejta?
-
19,0%Iva4
-
42,9%Nru9
-
28,6%Ikollna nkunu aktar viġilanti6
-
9,5%Lanqas ħsibt dwarha2
Ivvutaw 21 utent. 5 utenti astjenew.
Sors: www.habr.com