Na internete sa naďalej objavujú rôzne hrozby využívajúce témy koronavírusov. A dnes sa chceme podeliť o informácie o jednom zaujímavom príklade, ktorý jasne demonštruje túžbu útočníkov maximalizovať svoje zisky. Hrozba z kategórie „2 v 1“ sa nazýva Coronavirus. A pod rezom sú podrobné informácie o malvéri.
Využívanie témy koronavírusu sa začalo pred viac ako mesiacom. Útočníci využili záujem verejnosti o informácie o šírení pandémie a prijatých opatreniach. Na internete sa objavilo obrovské množstvo rôznych informátorov, špeciálnych aplikácií a falošných stránok, ktoré kompromitujú používateľov, kradnú dáta, niekedy zašifrujú obsah zariadenia a požadujú výkupné. Presne to robí mobilná aplikácia Coronavirus Tracker, ktorá blokuje prístup k zariadeniu a požaduje výkupné.
Samostatným problémom šírenia malvéru bola zámena s opatreniami finančnej podpory. V mnohých krajinách vláda prisľúbila pomoc a podporu bežným občanom a obchodným zástupcom počas pandémie. A takmer nikde nie je prijímanie tejto pomoci jednoduché a transparentné. Mnohí navyše dúfajú, že sa im pomôže aj finančne, no nevedia, či sú zaradení do zoznamu tých, ktorí dostanú štátne dotácie alebo nie. A tí, ktorí už niečo od štátu dostali, ďalšiu pomoc pravdepodobne neodmietnu.
To je presne to, čo útočníci využívajú. Posielajú listy v mene bánk, finančných regulátorov a orgánov sociálneho zabezpečenia a ponúkajú pomoc. Stačí nasledovať odkaz...
Nie je ťažké uhádnuť, že po kliknutí na pochybnú adresu človek skončí na phishingovej stránke, kde je požiadaný o zadanie svojich finančných informácií. Najčastejšie sa útočníci súčasne s otvorením webovej stránky pokúšajú infikovať počítač trójskym koňom, ktorého cieľom je odcudziť osobné údaje a najmä finančné informácie. Príloha e-mailu niekedy obsahuje súbor chránený heslom, ktorý obsahuje „dôležité informácie o tom, ako môžete získať vládnu podporu“ vo forme spywaru alebo ransomvéru.
Navyše, v poslednom čase sa na sociálnych sieťach začali šíriť aj programy z kategórie Infostealer. Napríklad, ak si chcete stiahnuť nejaký legitímny nástroj Windows, povedzme wisecleaner[.]najlepšie, Infostealer môže byť súčasťou balenia. Kliknutím na odkaz dostane používateľ downloader, ktorý stiahne malvér spolu s nástrojom, a zdroj sťahovania sa vyberie v závislosti od konfigurácie počítača obete.
Koronavírus 2022
Prečo sme celú túto exkurziu absolvovali? Faktom je, že nový malvér, ktorého tvorcovia nad názvom príliš nepremýšľali, práve absorboval všetko najlepšie a obeť poteší hneď dvomi typmi útokov. Na jednej strane je načítaný šifrovací program (CoronaVirus) a na druhej KPOT infostealer.
Coronavirus ransomvér
Samotný ransomvér je malý súbor s veľkosťou 44 kB. Hrozba je jednoduchá, ale účinná. Spustiteľný súbor sa skopíruje pod náhodným názvom do %AppData%LocalTempvprdh.exea tiež nastaví kľúč v registri WindowsCurrentVersionRun. Po vložení kópie sa originál vymaže.
Ako väčšina ransomvéru, aj CoronaVirus sa pokúša odstrániť lokálne zálohy a zakázať tieňovanie súborov spustením nasledujúcich systémových príkazov:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Potom softvér začne šifrovať súbory. Názov každého zašifrovaného súboru bude obsahovať [email protected]__ na začiatku a všetko ostatné zostáva rovnaké.
Okrem toho ransomvér zmení názov jednotky C na CoronaVirus.
V každom adresári, ktorý sa tomuto vírusu podarilo infikovať, sa objaví súbor CoronaVirus.txt, ktorý obsahuje platobné pokyny. Výkupné je len 0,008 bitcoinov alebo približne 60 dolárov. Musím povedať, že je to veľmi skromný údaj. A tu ide buď o to, že autor si nedal za cieľ veľmi zbohatnúť... alebo naopak usúdil, že ide o výbornú sumu, ktorú môže zaplatiť každý užívateľ sediaci doma v izolácii. Súhlasíte, ak nemôžete ísť von, potom 60 dolárov na opätovné spustenie počítača nie je tak veľa.
Okrem toho nový Ransomware zapíše malý spustiteľný súbor DOS do priečinka dočasných súborov a zaregistruje ho v registri pod kľúčom BootExecute, takže platobné pokyny sa zobrazia pri ďalšom reštarte počítača. V závislosti od systémových nastavení sa táto správa nemusí zobraziť. Po dokončení šifrovania všetkých súborov sa však počítač automaticky reštartuje.
KPOT infostealer
Tento Ransomware tiež prichádza so spywarom KPOT. Tento infostealer dokáže kradnúť cookies a uložené heslá z rôznych prehliadačov, ako aj z hier nainštalovaných na PC (vrátane Steam), instant messengerov Jabber a Skype. Oblasť jeho záujmu zahŕňa aj prístupové údaje pre FTP a VPN. Po vykonaní svojej práce a ukradnutí všetkého, čo môže, sa špión vymaže pomocou nasledujúceho príkazu:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Už to nie je len Ransomware
Tento útok, opäť spojený s témou pandémie koronavírusov, opäť dokazuje, že moderný ransomvér sa snaží robiť viac, než len šifrovať vaše súbory. V tomto prípade obeť riskuje, že jej ukradnú heslá na rôzne stránky a portály. Vysoko organizované skupiny kyberzločincov ako Maze a DoppelPaymer sa stali odborníkmi na používanie ukradnutých osobných údajov na vydieranie používateľov, ak nechcú platiť za obnovu súborov. V skutočnosti zrazu nie sú také dôležité, alebo má používateľ záložný systém, ktorý nie je náchylný na útoky Ransomware.
Napriek svojej jednoduchosti nový CoronaVirus jasne ukazuje, že kyberzločinci sa tiež snažia zvýšiť svoje príjmy a hľadajú ďalšie spôsoby speňaženia. Stratégia samotná nie je nová – analytici Acronis už niekoľko rokov pozorujú ransomvérové útoky, ktoré tiež nasadzujú finančné trójske kone do počítača obete. Navyše, v moderných podmienkach môže ransomvérový útok vo všeobecnosti slúžiť ako sabotáž s cieľom odvrátiť pozornosť od hlavného cieľa útočníkov – úniku dát.
Tak či onak, ochranu pred takýmito hrozbami možno dosiahnuť len pomocou integrovaného prístupu ku kybernetickej obrane. A moderné bezpečnostné systémy ľahko blokujú takéto hrozby (a obe ich súčasti) ešte predtým, ako začnú používať heuristické algoritmy využívajúce technológie strojového učenia. Ak je integrovaný so systémom zálohovania/obnovy po havárii, prvé poškodené súbory budú okamžite obnovené.
Pre záujemcov, hash súčty súborov IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prosím.
Zažili ste niekedy súčasné šifrovanie a krádež údajov?
-
19,0%Áno4
-
42,9%č.9
-
28,6%Budeme musieť byť ostražitejší6
-
9,5%ani ma to nenapadlo 2
Hlasovalo 21 používateľov. 5 užívateľov sa zdržalo hlasovania.
Zdroj: hab.com