Различите претње које користе теме о коронавирусу настављају да се појављују на мрежи. И данас желимо да поделимо информације о једном интересантном случају који јасно показује жељу нападача да максимизирају свој профит. Претња из категорије „2-у-1” себе назива ЦоронаВирус. А детаљне информације о малверу су испод реза.
Експлоатација теме коронавируса почела је пре више од месец дана. Нападачи су искористили интересовање јавности за информације о ширењу пандемије и предузетим мерама. На интернету се појавио огроман број различитих информатора, специјалних апликација и лажних сајтова који компромитују кориснике, краду податке, а понекад и шифрују садржај уређаја и захтевају откуп. Управо то ради мобилна апликација Цоронавирус Трацкер, блокирајући приступ уређају и захтевајући откуп.
Посебно питање за ширење злонамерног софтвера била је конфузија са мерама финансијске подршке. У многим земљама влада је обећала помоћ и подршку обичним грађанима и представницима привреде током пандемије. И скоро нигде ова помоћ није једноставна и транспарентна. Штавише, многи се надају да ће им се помоћи новчано, али не знају да ли су уврштени на списак оних који ће добити државне субвенције или не. А они који су већ нешто добили од државе тешко да ће одбити додатну помоћ.
То је управо оно што нападачи користе. Они шаљу писма у име банака, финансијских регулатора и органа социјалног осигурања, нудећи помоћ. Само треба да пратите линк...
Није тешко претпоставити да након клика на сумњиву адресу особа заврши на сајту за пхисхинг где се од њега тражи да унесе своје финансијске податке. Најчешће, истовремено са отварањем веб странице, нападачи покушавају да заразе рачунар тројанским програмом који има за циљ крађу личних података, а посебно финансијских информација. Понекад прилог е-поште укључује датотеку заштићену лозинком која садржи „важне информације о томе како можете добити државну подршку“ у облику шпијунског софтвера или рансомвера.
Поред тога, однедавно програми из категорије Инфостеалер почели су да се шире и на друштвеним мрежама. На пример, ако желите да преузмете неки легитимни Виндовс услужни програм, рецимо висецлеанер[.]бест, Инфостеалер може доћи у пакету са њим. Кликом на везу корисник добија програм за преузимање који преузима малвер заједно са услужним програмом, а извор преузимања се бира у зависности од конфигурације рачунара жртве.
Коронавирус 2022
Зашто смо прошли кроз целу ову екскурзију? Чињеница је да је нови злонамерни софтвер, чији креатори нису дуго размишљали о имену, управо упио све најбоље и одушевљава жртву са две врсте напада одједном. На једној страни је учитан програм за шифровање (ЦоронаВирус), а на другој КПОТ инфостеалер.
ЦоронаВирус рансомваре
Сам рансомваре је мала датотека величине 44 КБ. Претња је једноставна, али ефикасна. Извршна датотека се копира под насумичним именом у %AppData%LocalTempvprdh.exe, а такође поставља кључ у регистратору WindowsCurrentVersionRun. Када се копија постави, оригинал се брише.
Као и већина рансомваре-а, ЦоронаВирус покушава да избрише локалне резервне копије и онемогући праћење датотека тако што ће покренути следеће системске команде:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Затим, софтвер почиње да шифрује датотеке. Име сваке шифроване датотеке ће садржати [email protected]__ на почетку, а све остало остаје исто.
Поред тога, рансомваре мења име Ц диска у ЦоронаВирус.
У сваком директоријуму који је овај вирус успео да зарази појављује се датотека ЦоронаВирус.ткт која садржи упутства за плаћање. Откуп је само 0,008 биткоина или приближно 60 долара. Морам рећи да је ово врло скромна цифра. А овде је поента или да аутор себи није поставио циљ да се много обогати... или је, напротив, одлучио да је то одличан износ који сваки корисник који седи код куће у самоизолацији може да плати. Слажете се, ако не можете да изађете напоље, онда 60 долара да би ваш рачунар поново радио није толико.
Поред тога, нови Рансомваре уписује малу извршну датотеку ДОС-а у фасциклу привремених датотека и региструје је у регистратору под БоотЕкецуте кључем тако да ће се упутства за плаћање приказати следећи пут када се рачунар поново покрене. У зависности од подешавања система, ова порука се можда неће појавити. Међутим, након што се шифровање свих датотека заврши, рачунар ће се аутоматски поново покренути.
КПОТ инфостеалер
Овај Рансомваре такође долази са КПОТ шпијунским софтвером. Овај инфостеалер може да украде колачиће и сачуване лозинке из разних претраживача, као и из игрица инсталираних на рачунару (укључујући Стеам), Јаббер и Скипе инстант мессенгере. Његова област интересовања такође укључује детаље о приступу за ФТП и ВПН. Пошто је обавио свој посао и украо све што може, шпијун се брише следећом командом:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
То више није само Рансомваре
Овај напад, још једном везан за тему пандемије коронавируса, још једном доказује да савремени рансомваре настоји да уради више од само шифровања ваших датотека. У овом случају, жртва ризикује да јој украду лозинке за различите сајтове и портале. Високо организоване сајбер криминалне групе као што су Мазе и ДоппелПаимер постале су веште у коришћењу украдених личних података за уцењивање корисника ако не желе да плате опоравак датотека. Заиста, одједном нису толико важни или корисник има резервни систем који није подложан нападима Рансомваре-а.
Упркос својој једноставности, нови ЦоронаВирус јасно показује да сајбер криминалци такође настоје да повећају своје приходе и да траже додатна средства за монетизацију. Сама стратегија није нова – аналитичари Ацронис-а већ неколико година посматрају нападе рансомваре-а који такође постављају финансијске тројанце на рачунар жртве. Штавише, у савременим условима, напад рансомваре-а генерално може послужити као саботажа како би се скренула пажња са главног циља нападача – цурења података.
На овај или онај начин, заштита од таквих претњи може се постићи само интегрисаним приступом сајбер одбрани. А савремени безбедносни системи лако блокирају такве претње (и обе њихове компоненте) чак и пре него што почну да користе хеуристичке алгоритме користећи технологије машинског учења. Ако се интегрише са системом за резервну копију/опоравак од катастрофе, прве оштећене датотеке ће бити одмах враћене.
За оне који су заинтересовани, хеш суме ИоЦ датотека:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Само регистровани корисници могу учествовати у анкети. , Добродошао си.
Да ли сте икада искусили истовремену енкрипцију и крађу података?
-
100%Иес4
-
100%Но9
-
100%Мораћемо да будемо опрезнији6
-
100%Нисам ни размишљао о томе2
Гласао је 21 корисник. 5 корисника је било уздржано.
Извор: ввв.хабр.цом