Na spletu se še naprej pojavljajo različne grožnje, ki uporabljajo tematiko koronavirusa. In danes želimo deliti informacije o enem zanimivem primeru, ki jasno dokazuje željo napadalcev, da povečajo svoj dobiček. Grožnja iz kategorije »2-v-1« se imenuje CoronaVirus. Podrobne informacije o zlonamerni programski opremi so pod rezom.
Izkoriščanje teme o koronavirusu se je začelo pred več kot mesecem dni. Napadalci so izkoristili zanimanje javnosti za informacije o širjenju pandemije in sprejetih ukrepih. Na spletu se je pojavilo ogromno različnih informatorjev, posebnih aplikacij in lažnih strani, ki kompromitirajo uporabnike, kradejo podatke, včasih pa šifrirajo vsebino naprave in zahtevajo odkupnino. Prav to počne mobilna aplikacija Coronavirus Tracker, ki blokira dostop do naprave in zahteva odkupnino.
Ločeno vprašanje širjenja zlonamerne programske opreme je bila zmeda z ukrepi finančne podpore. V mnogih državah je vlada med pandemijo obljubila pomoč in podporo navadnim državljanom in predstavnikom podjetij. In skoraj nikjer prejemanje te pomoči ni preprosto in transparentno. Poleg tega mnogi upajo, da jim bodo finančno pomagali, ne vedo pa, ali so uvrščeni na seznam tistih, ki bodo prejeli državne subvencije ali ne. In tisti, ki so že prejeli nekaj od države, verjetno ne bodo zavrnili dodatne pomoči.
Prav to napadalci izkoriščajo. Pošiljajo pisma v imenu bank, finančnih regulatorjev in organov socialne varnosti ter ponujajo pomoč. Samo slediti morate povezavi...
Ni težko uganiti, da oseba po kliku na dvomljiv naslov konča na spletnem mestu z lažnim predstavljanjem, kjer mora vnesti svoje finančne podatke. Najpogosteje hkrati z odpiranjem spletnega mesta napadalci poskušajo okužiti računalnik s trojanskim programom, namenjenim kraji osebnih podatkov in zlasti finančnih informacij. Včasih e-poštna priloga vključuje datoteko, zaščiteno z geslom, ki vsebuje "pomembne informacije o tem, kako lahko pridobite državno podporo" v obliki vohunske ali izsiljevalske programske opreme.
Poleg tega so se v zadnjem času programi iz kategorije Infostealer začeli širiti tudi na družbenih omrežjih. Na primer, če želite prenesti nek zakonit pripomoček za Windows, recimo wisecleaner[.]najboljši, bo Infostealer morda prišel v paketu z njim. S klikom na povezavo uporabnik prejme prenosnik, ki skupaj s pripomočkom prenese zlonamerno programsko opremo, vir prenosa pa se izbere glede na konfiguracijo računalnika žrtve.
Koronavirus 2022
Zakaj smo šli skozi celotno ekskurzijo? Dejstvo je, da je nova zlonamerna programska oprema, katere ustvarjalci niso predolgo razmišljali o imenu, pravkar vsrkala vse najboljše in žrtev razveseli z dvema vrstama napadov hkrati. Na eni strani je naložen program za šifriranje (CoronaVirus), na drugi pa KPOT infostealer.
CoronaVirus izsiljevalska programska oprema
Sama izsiljevalska programska oprema je majhna datoteka, ki meri 44 KB. Grožnja je preprosta, a učinkovita. Izvedljiva datoteka se kopira pod naključnim imenom v %AppData%LocalTempvprdh.exe, in tudi nastavi ključ v registru WindowsCurrentVersionRun. Ko je kopija nameščena, se izvirnik izbriše.
Kot večina izsiljevalske programske opreme poskuša CoronaVirus izbrisati lokalne varnostne kopije in onemogočiti senčenje datotek z izvajanjem naslednjih sistemskih ukazov:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Nato začne programska oprema šifrirati datoteke. Ime vsake šifrirane datoteke bo vsebovalo [email protected]__ na začetku, vse ostalo pa ostane isto.
Poleg tega izsiljevalska programska oprema spremeni ime pogona C v CoronaVirus.
V vsakem imeniku, ki ga je ta virus uspel okužiti, se pojavi datoteka CoronaVirus.txt, ki vsebuje navodila za plačilo. Odkupnina znaša le 0,008 bitcoina ali približno 60 USD. Moram reči, da je to zelo skromna številka. In tu gre bodisi za to, da si avtor ni zastavil cilja zelo obogateti ... ali pa se je, nasprotno, odločil, da je to odličen znesek, ki ga lahko plača vsak uporabnik, ki sedi doma v samoizolaciji. Strinjate se, če ne morete iti ven, potem 60 dolarjev za ponovno delovanje računalnika ni tako veliko.
Poleg tega nova izsiljevalska programska oprema zapiše majhno izvršljivo datoteko DOS v mapo z začasnimi datotekami in jo registrira v registru pod ključem BootExecute, tako da bodo navodila za plačilo prikazana ob naslednjem ponovnem zagonu računalnika. Odvisno od sistemskih nastavitev se to sporočilo morda ne prikaže. Po končanem šifriranju vseh datotek pa se bo računalnik samodejno znova zagnal.
KPOT infostealer
Ta izsiljevalska programska oprema ima tudi vohunsko programsko opremo KPOT. Ta infostealer lahko ukrade piškotke in shranjena gesla iz različnih brskalnikov, pa tudi iz iger, nameščenih na osebnem računalniku (vključno s Steam), Jabber in Skype hitrih sporočil. Njegovo področje zanimanja vključuje tudi podrobnosti o dostopu za FTP in VPN. Ko je opravil svoje delo in ukradel vse, kar je lahko, se vohun izbriše z naslednjim ukazom:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
To ni več samo izsiljevalska programska oprema
Ta napad, ponovno povezan s temo pandemije koronavirusa, ponovno dokazuje, da sodobna izsiljevalska programska oprema želi narediti več kot le šifrirati vaše datoteke. V tem primeru žrtev tvega krajo gesel do različnih strani in portalov. Visoko organizirane skupine kibernetskega kriminala, kot sta Maze in DoppelPaymer, so postale vešče uporabe ukradenih osebnih podatkov za izsiljevanje uporabnikov, če ne želijo plačati za obnovitev datotek. Dejansko nenadoma niso tako pomembni ali pa ima uporabnik rezervni sistem, ki ni dovzeten za napade Ransomware.
Novi CoronaVirus kljub svoji preprostosti jasno dokazuje, da si tudi kiberkriminalci prizadevajo povečati svoj dohodek in iščejo dodatne načine monetizacije. Sama strategija ni nova – že nekaj let analitiki Acronisa opazujejo napade z izsiljevalsko programsko opremo, ki na računalnik žrtve nameščajo tudi finančne trojance. Poleg tega lahko v sodobnih razmerah napad z izsiljevalsko programsko opremo na splošno služi kot sabotaža, da bi preusmerili pozornost od glavnega cilja napadalcev - uhajanja podatkov.
Tako ali drugače je zaščito pred tovrstnimi grožnjami mogoče doseči le s celostnim pristopom k kibernetski obrambi. In sodobni varnostni sistemi zlahka blokirajo takšne grožnje (in obe njihovi komponenti), še preden začnejo uporabljati hevristične algoritme s tehnologijami strojnega učenja. Če je integriran s sistemom za varnostno kopiranje/obnovitev po katastrofi, bodo prve poškodovane datoteke takoj obnovljene.
Za tiste, ki jih zanima, zgoščene vsote datotek IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
V anketi lahko sodelujejo samo registrirani uporabniki. , prosim.
Ste že kdaj doživeli hkratno šifriranje in krajo podatkov?
-
19,0%Da4
-
42,9%št.9
-
28,6%Morali bomo biti bolj pozorni6
-
9,5%Sploh nisem pomislil na to2
Glasovalo je 21 uporabnikov. 5 uporabnikov se je vzdržalo.
Vir: www.habr.com