Várias ameaças usando temas de coronavírus continuam a aparecer online. E hoje queremos compartilhar informações sobre um caso interessante que demonstra claramente o desejo dos invasores de maximizar seus lucros. A ameaça da categoria “2 em 1” se autodenomina CoronaVirus. E informações detalhadas sobre o malware estão em falta.
A exploração do tema coronavírus começou há mais de um mês. Os agressores aproveitaram-se do interesse do público pelas informações sobre a propagação da pandemia e as medidas tomadas. Um grande número de diferentes informantes, aplicativos especiais e sites falsos apareceram na Internet que comprometem os usuários, roubam dados e, às vezes, criptografam o conteúdo do dispositivo e exigem resgate. Isso é exatamente o que o aplicativo móvel Coronavirus Tracker faz, bloqueando o acesso ao dispositivo e exigindo resgate.
Uma questão separada para a propagação de malware foi a confusão com as medidas de apoio financeiro. Em muitos países, o governo prometeu assistência e apoio aos cidadãos comuns e representantes empresariais durante a pandemia. E quase em nenhum lugar o recebimento dessa assistência é simples e transparente. Além disso, muitos esperam receber ajuda financeira, mas não sabem se estão incluídos na lista dos que receberão subsídios governamentais ou não. E é improvável que aqueles que já receberam algo do Estado recusem ajuda adicional.
É exatamente disso que os invasores se aproveitam. Enviam cartas em nome de bancos, reguladores financeiros e autoridades de segurança social, oferecendo ajuda. Você só precisa seguir o link...
Não é difícil adivinhar que depois de clicar em um endereço duvidoso, uma pessoa acaba em um site de phishing onde é solicitada a inserir suas informações financeiras. Na maioria das vezes, simultaneamente à abertura de um site, os invasores tentam infectar um computador com um programa Trojan que visa roubar dados pessoais e, em particular, informações financeiras. Às vezes, um anexo de e-mail inclui um arquivo protegido por senha que contém “informações importantes sobre como obter suporte governamental” na forma de spyware ou ransomware.
Além disso, recentemente programas da categoria Infostealer também começaram a se espalhar nas redes sociais. Por exemplo, se você deseja baixar algum utilitário legítimo do Windows, digamos, wisecleaner[.]melhor, o Infostealer pode vir junto com ele. Ao clicar no link, o usuário recebe um downloader que baixa o malware junto com o utilitário, e a fonte de download é selecionada dependendo da configuração do computador da vítima.
Coronavírus 2022
Por que passamos por toda essa excursão? O fato é que o novo malware, cujos criadores não pensaram muito no nome, acaba de absorver tudo de melhor e encanta a vítima com dois tipos de ataques ao mesmo tempo. De um lado está carregado o programa de criptografia (CoronaVirus) e do outro o infostealer KPOT.
ransomware Coronavírus
O ransomware em si é um pequeno arquivo medindo 44 KB. A ameaça é simples, mas eficaz. O arquivo executável se copia com um nome aleatório para %AppData%LocalTempvprdh.exe, e também define a chave no registro WindowsCurrentVersionRun. Depois que a cópia é colocada, o original é excluído.
Como a maioria dos ransomware, o CoronaVirus tenta excluir backups locais e desativar o sombreamento de arquivos executando os seguintes comandos do sistema:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Em seguida, o software começa a criptografar os arquivos. O nome de cada arquivo criptografado conterá [email protected]__ no início, e todo o resto permanece igual.
Além disso, o ransomware altera o nome da unidade C para CoronaVirus.
Em cada diretório que este vírus conseguiu infectar, aparece um arquivo CoronaVirus.txt, que contém instruções de pagamento. O resgate é de apenas 0,008 bitcoins ou aproximadamente US$ 60. Devo dizer que este é um número muito modesto. E aqui a questão é que ou o autor não se propôs a ficar muito rico... ou, pelo contrário, decidiu que se tratava de uma quantia excelente que qualquer utilizador que ficasse em casa isolado poderia pagar. Concordo, se você não pode sair de casa, US$ 60 para fazer seu computador funcionar novamente não é muito.
Além disso, o novo Ransomware grava um pequeno arquivo executável do DOS na pasta de arquivos temporários e o registra no registro sob a chave BootExecute para que as instruções de pagamento sejam mostradas na próxima vez que o computador for reiniciado. Dependendo das configurações do sistema, esta mensagem pode não aparecer. No entanto, após a conclusão da criptografia de todos os arquivos, o computador será reiniciado automaticamente.
Ladrão de informações KPOT
Este Ransomware também vem com spyware KPOT. Este infostealer pode roubar cookies e senhas salvas de vários navegadores, bem como de jogos instalados em um PC (incluindo Steam), Jabber e mensageiros instantâneos do Skype. Sua área de interesse também inclui detalhes de acesso para FTP e VPN. Tendo feito o seu trabalho e roubado tudo o que pode, o espião se apaga com o seguinte comando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Não é mais apenas Ransomware
Este ataque, mais uma vez ligado ao tema da pandemia do coronavírus, prova mais uma vez que o ransomware moderno procura fazer mais do que apenas encriptar os seus ficheiros. Nesse caso, a vítima corre o risco de ter senhas de diversos sites e portais roubadas. Grupos cibercriminosos altamente organizados, como Maze e DoppelPaymer, tornaram-se adeptos do uso de dados pessoais roubados para chantagear usuários caso eles não queiram pagar pela recuperação de arquivos. Na verdade, de repente eles não são tão importantes, ou o usuário tem um sistema de backup que não é suscetível a ataques de Ransomware.
Apesar da sua simplicidade, o novo CoronaVirus demonstra claramente que os cibercriminosos também procuram aumentar os seus rendimentos e procuram meios adicionais de monetização. A estratégia em si não é nova – há vários anos, os analistas da Acronis têm observado ataques de ransomware que também plantam Trojans financeiros no computador da vítima. Além disso, nas condições modernas, um ataque de ransomware geralmente pode servir como sabotagem, a fim de desviar a atenção do objetivo principal dos invasores - o vazamento de dados.
De uma forma ou de outra, a proteção contra tais ameaças só pode ser alcançada através de uma abordagem integrada à defesa cibernética. E os sistemas de segurança modernos bloqueiam facilmente essas ameaças (e ambos os seus componentes), mesmo antes de começarem a usar algoritmos heurísticos com tecnologias de aprendizado de máquina. Se integrado a um sistema de backup/recuperação de desastres, os primeiros arquivos danificados serão restaurados imediatamente.
Para os interessados, somas hash dos arquivos IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Apenas usuários registrados podem participar da pesquisa. por favor
Você já experimentou criptografia e roubo de dados simultâneos?
-
19,0%sim4
-
42,9%No9
-
28,6%Teremos que estar mais vigilantes6
-
9,5%Eu nem pensei nisso2
21 usuários votaram. 5 usuários se abstiveram.
Fonte: habr.com