Ulike trusler som bruker koronavirus-temaer fortsetter å dukke opp på nettet. Og i dag ønsker vi å dele informasjon om en interessant instans som tydelig demonstrerer angripernes ønske om å maksimere fortjenesten. Trusselen fra «2-i-1»-kategorien kaller seg CoronaVirus. Og detaljert informasjon om skadelig programvare er under kuttet.
Utnyttelsen av koronavirus-temaet begynte for mer enn en måned siden. Angriperne utnyttet publikums interesse for informasjon om spredningen av pandemien og tiltakene som ble tatt. Et stort antall forskjellige informanter, spesielle applikasjoner og falske sider har dukket opp på Internett som kompromitterer brukere, stjeler data og noen ganger krypterer innholdet på enheten og krever løsepenger. Dette er nøyaktig hva Coronavirus Tracker-mobilappen gjør, blokkerer tilgang til enheten og krever løsepenger.
Et eget problem for spredning av skadevare var forvirringen med økonomiske støttetiltak. I mange land har regjeringen lovet hjelp og støtte til vanlige borgere og næringslivsrepresentanter under pandemien. Og nesten ingen steder er det enkelt og transparent å motta denne hjelpen. Dessuten håper mange at de blir hjulpet økonomisk, men vet ikke om de er med på listen over de som skal få statlige tilskudd eller ikke. Og de som allerede har mottatt noe fra staten vil neppe nekte ytterligere hjelp.
Det er nettopp dette angripere drar nytte av. De sender brev på vegne av banker, finanstilsyn og trygdemyndigheter, og tilbyr hjelp. Du trenger bare å følge linken...
Det er ikke vanskelig å gjette at etter å ha klikket på en tvilsom adresse, ender en person opp på et phishing-nettsted hvor han blir bedt om å legge inn sin økonomiske informasjon. Som oftest, samtidig med å åpne et nettsted, prøver angripere å infisere en datamaskin med et trojansk program som tar sikte på å stjele personlige data og spesielt finansiell informasjon. Noen ganger inkluderer et e-postvedlegg en passordbeskyttet fil som inneholder "viktig informasjon om hvordan du kan få statlig støtte" i form av spionprogrammer eller løsepengeprogramvare.
I tillegg har programmer fra Infostealer-kategorien også begynt å spre seg på sosiale nettverk. For eksempel, hvis du vil laste ned et legitimt Windows-verktøy, si wisecleaner[.]best, kan Infostealer godt komme sammen med det. Ved å klikke på lenken mottar brukeren en nedlaster som laster ned skadelig programvare sammen med verktøyet, og nedlastingskilden velges avhengig av konfigurasjonen til offerets datamaskin.
Koronavirus 2022
Hvorfor gikk vi gjennom hele denne ekskursjonen? Faktum er at den nye malware, skaperne av som ikke tenkte så lenge på navnet, har nettopp absorbert alt det beste og gleder offeret med to typer angrep samtidig. På den ene siden er krypteringsprogrammet (CoronaVirus) lastet, og på den andre KPOT infostealer.
CoronaVirus løsepengevare
Selve løsepengevaren er en liten fil som måler 44KB. Trusselen er enkel, men effektiv. Den kjørbare filen kopierer seg selv under et tilfeldig navn til %AppData%LocalTempvprdh.exe, og setter også nøkkelen i registeret WindowsCurrentVersionRun. Når kopien er plassert, slettes originalen.
Som de fleste løsepengeprogrammer, prøver CoronaVirus å slette lokale sikkerhetskopier og deaktivere filskygging ved å kjøre følgende systemkommandoer:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Deretter begynner programvaren å kryptere filer. Navnet på hver kryptert fil vil inneholde [email protected]__ i begynnelsen, og alt annet forblir det samme.
I tillegg endrer løsepengevaren navnet på C-stasjonen til CoronaVirus.
I hver katalog som dette viruset klarte å infisere, vises en CoronaVirus.txt-fil, som inneholder betalingsinstruksjoner. Løsepengene er bare 0,008 bitcoins eller omtrent $60. Jeg må si at dette er et veldig beskjedent tall. Og her er poenget enten at forfatteren ikke satte seg som mål å bli veldig rik... eller tvert imot bestemte han seg for at dette var et utmerket beløp som enhver bruker som sitter hjemme i selvisolasjon kunne betale. Enig, hvis du ikke kan gå ut, er ikke $60 for å få datamaskinen til å fungere igjen så mye.
I tillegg skriver den nye Ransomware en liten kjørbar DOS-fil i mappen for midlertidige filer og registrerer den i registeret under BootExecute-nøkkelen slik at betalingsinstruksjoner vises neste gang datamaskinen startes på nytt. Avhengig av systeminnstillingene kan det hende at denne meldingen ikke vises. Men etter at kryptering av alle filene er fullført, starter datamaskinen automatisk på nytt.
KPOT infosteler
Denne Ransomware kommer også med KPOT spyware. Denne infostealeren kan stjele informasjonskapsler og lagrede passord fra en rekke nettlesere, så vel som fra spill installert på en PC (inkludert Steam), Jabber og Skype instant messengers. Hans interesseområde inkluderer også tilgangsdetaljer for FTP og VPN. Etter å ha gjort jobben sin og stjålet alt den kan, sletter spionen seg selv med følgende kommando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Det er ikke bare Ransomware lenger
Dette angrepet, nok en gang knyttet til temaet for koronaviruspandemien, beviser nok en gang at moderne løsepengeprogramvare søker å gjøre mer enn bare å kryptere filene dine. I dette tilfellet risikerer offeret å få frastjålet passord til ulike nettsteder og portaler. Høyt organiserte nettkriminelle grupper som Maze og DoppelPaymer har blitt flinke til å bruke stjålne personopplysninger for å utpresse brukere hvis de ikke ønsker å betale for filgjenoppretting. Plutselig er de faktisk ikke så viktige, eller brukeren har et sikkerhetskopisystem som ikke er mottakelig for Ransomware-angrep.
Til tross for sin enkelhet, demonstrerer det nye CoronaVirus tydelig at nettkriminelle også søker å øke inntekten sin og ser etter flere måter å tjene penger på. Strategien i seg selv er ikke ny - i flere år nå har Acronis-analytikere observert løsepengevareangrep som også planter økonomiske trojanere på offerets datamaskin. Dessuten, under moderne forhold, kan et løsepengeprogram generelt tjene som en sabotasje for å avlede oppmerksomheten fra angripernes hovedmål - datalekkasje.
På en eller annen måte kan beskyttelse mot slike trusler bare oppnås ved å bruke en integrert tilnærming til cyberforsvar. Og moderne sikkerhetssystemer blokkerer enkelt slike trusler (og begge komponentene deres) selv før de begynner å bruke heuristiske algoritmer ved hjelp av maskinlæringsteknologier. Hvis integrert med et system for sikkerhetskopiering/katastrofegjenoppretting, vil de første skadede filene bli gjenopprettet umiddelbart.
For de interesserte, hash summer av IoC-filer:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Kun registrerte brukere kan delta i undersøkelsen. , vær så snill.
Har du noen gang opplevd samtidig kryptering og datatyveri?
-
19,0%Ja 4
-
42,9%No9
-
28,6%Vi må være mer årvåkne6
-
9,5%Jeg tenkte ikke engang på det 2
21 brukere stemte. 5 brukere avsto.
Kilde: www.habr.com