ภัยคุกคามต่างๆ ที่ใช้ธีมไวรัสโคโรนายังคงปรากฏทางออนไลน์ และวันนี้เราต้องการแบ่งปันข้อมูลเกี่ยวกับตัวอย่างที่น่าสนใจซึ่งแสดงให้เห็นอย่างชัดเจนถึงความปรารถนาของผู้โจมตีในการเพิ่มผลกำไรสูงสุด ภัยคุกคามจากหมวดหมู่ “2-in-1” เรียกตัวเองว่า CoronaVirus และข้อมูลโดยละเอียดเกี่ยวกับมัลแวร์กำลังอยู่ระหว่างการแก้ไข
การใช้ประโยชน์จากธีมไวรัสโคโรนาเริ่มขึ้นเมื่อกว่าหนึ่งเดือนที่แล้ว ผู้โจมตีใช้ประโยชน์จากความสนใจของสาธารณะเกี่ยวกับข้อมูลเกี่ยวกับการแพร่กระจายของโรคระบาดและมาตรการที่ใช้ ผู้แจ้งข้อมูล แอปพลิเคชันพิเศษ และไซต์ปลอมจำนวนมากปรากฏบนอินเทอร์เน็ตที่คุกคามผู้ใช้ ขโมยข้อมูล และบางครั้งเข้ารหัสเนื้อหาของอุปกรณ์และเรียกร้องค่าไถ่ นี่คือสิ่งที่แอพมือถือ Corona Virus Tracker ทำ โดยบล็อกการเข้าถึงอุปกรณ์และเรียกร้องค่าไถ่
ปัญหาอีกประการหนึ่งสำหรับการแพร่กระจายของมัลแวร์คือความสับสนกับมาตรการสนับสนุนทางการเงิน ในหลายประเทศ รัฐบาลได้ให้คำมั่นสัญญาว่าจะให้ความช่วยเหลือและสนับสนุนประชาชนทั่วไปและตัวแทนธุรกิจในช่วงที่มีการระบาดใหญ่ และแทบไม่มีที่ไหนเลยที่จะได้รับความช่วยเหลือนี้อย่างง่ายและโปร่งใส นอกจากนี้หลายคนหวังว่าจะได้รับการช่วยเหลือทางการเงิน แต่ไม่รู้ว่าจะรวมอยู่ในรายชื่อผู้ที่จะได้รับเงินอุดหนุนจากรัฐบาลหรือไม่ และผู้ที่ได้รับบางสิ่งบางอย่างจากรัฐก็ไม่น่าจะปฏิเสธความช่วยเหลือเพิ่มเติม
นี่คือสิ่งที่ผู้โจมตีใช้ประโยชน์ พวกเขาส่งจดหมายในนามของธนาคาร หน่วยงานกำกับดูแลทางการเงิน และหน่วยงานประกันสังคมเพื่อเสนอความช่วยเหลือ เพียงคุณไปตามลิงค์...
เดาได้ไม่ยากว่าหลังจากคลิกที่อยู่ที่น่าสงสัย บุคคลนั้นก็จะเข้าสู่ไซต์ฟิชชิ่งที่เขาถูกขอให้ป้อนข้อมูลทางการเงิน บ่อยครั้งที่ผู้โจมตีพยายามแพร่เชื้อคอมพิวเตอร์ด้วยโปรแกรมโทรจันพร้อมกับการเปิดเว็บไซต์โดยมีเป้าหมายเพื่อขโมยข้อมูลส่วนบุคคลและโดยเฉพาะข้อมูลทางการเงิน บางครั้งไฟล์แนบในอีเมลจะมีไฟล์ที่ป้องกันด้วยรหัสผ่านซึ่งประกอบด้วย “ข้อมูลสำคัญเกี่ยวกับวิธีรับการสนับสนุนจากรัฐบาล” ในรูปแบบของสปายแวร์หรือแรนซัมแวร์
นอกจากนี้เมื่อเร็ว ๆ นี้โปรแกรมจากหมวด Infostealer ก็เริ่มแพร่กระจายบนโซเชียลเน็ตเวิร์กเช่นกัน ตัวอย่างเช่น หากคุณต้องการดาวน์โหลดยูทิลิตี้ Windows ที่ถูกกฎหมาย เช่น wisecleaner[.]ดีที่สุด Infostealer อาจมาพร้อมกับยูทิลิตี้ดังกล่าวด้วย เมื่อคลิกที่ลิงก์ ผู้ใช้จะได้รับตัวดาวน์โหลดที่ดาวน์โหลดมัลแวร์พร้อมกับยูทิลิตี้ และเลือกแหล่งดาวน์โหลดขึ้นอยู่กับการกำหนดค่าคอมพิวเตอร์ของเหยื่อ
โคโรนาไวรัส 2022
ทำไมเราถึงผ่านการทัศนศึกษาทั้งหมดนี้? ความจริงก็คือมัลแวร์ตัวใหม่ซึ่งผู้สร้างไม่ได้คิดนานเกี่ยวกับชื่อนี้เพิ่งดูดซับสิ่งที่ดีที่สุดและสร้างความพึงพอใจให้กับเหยื่อด้วยการโจมตีสองประเภทในคราวเดียว ด้านหนึ่งมีการโหลดโปรแกรมเข้ารหัส (CoronaVirus) และอีกด้านหนึ่งคือโปรแกรมขโมยข้อมูล KPOT
แรนซั่มแวร์ CoronaVirus
ตัวแรนซั่มแวร์นั้นเป็นไฟล์ขนาดเล็กที่มีขนาด 44KB ภัยคุกคามนั้นเรียบง่ายแต่มีประสิทธิภาพ ไฟล์ปฏิบัติการจะคัดลอกตัวเองภายใต้ชื่อแบบสุ่มไปที่ %AppData%LocalTempvprdh.exeและยังตั้งค่าคีย์ในรีจิสทรีด้วย WindowsCurrentVersionRun. เมื่อวางสำเนาแล้ว ต้นฉบับจะถูกลบ
เช่นเดียวกับแรนซัมแวร์ส่วนใหญ่ CoronaVirus พยายามที่จะลบข้อมูลสำรองในเครื่องและปิดใช้งานการแชโดว์ไฟล์โดยการรันคำสั่งระบบต่อไปนี้:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
จากนั้นซอฟต์แวร์จะเริ่มเข้ารหัสไฟล์ ชื่อของไฟล์ที่เข้ารหัสแต่ละไฟล์จะมี [email protected]__ ในตอนแรก และทุกสิ่งทุกอย่างยังคงเหมือนเดิม
นอกจากนี้ Ransomware ยังเปลี่ยนชื่อไดรฟ์ C เป็น CoronaVirus
ในแต่ละไดเร็กทอรีที่ไวรัสนี้จัดการให้ติดได้ ไฟล์ CoronaVirus.txt จะปรากฏขึ้นซึ่งมีคำแนะนำในการชำระเงิน ค่าไถ่เพียง 0,008 bitcoins หรือประมาณ $60 ฉันต้องบอกว่านี่เป็นตัวเลขที่เจียมเนื้อเจียมตัวมาก และประเด็นก็คือผู้เขียนไม่ได้ตั้งเป้าหมายที่จะรวยมาก... หรือในทางกลับกัน เขาตัดสินใจว่านี่เป็นจำนวนเงินที่ดีเยี่ยมที่ผู้ใช้ทุกคนที่ต้องอยู่บ้านเพื่อแยกตัวเองสามารถจ่ายได้ เห็นด้วย ถ้าคุณออกไปข้างนอกไม่ได้ เงิน 60 เหรียญเพื่อให้คอมพิวเตอร์ของคุณกลับมาใช้งานได้อีกครั้งนั้นก็ไม่ได้แพงขนาดนั้น
นอกจากนี้ แรนซัมแวร์ตัวใหม่ยังเขียนไฟล์ปฏิบัติการ DOS ขนาดเล็กลงในโฟลเดอร์ไฟล์ชั่วคราว และลงทะเบียนไว้ในรีจิสทรีภายใต้คีย์ BootExecute เพื่อให้คำแนะนำในการชำระเงินปรากฏขึ้นในครั้งถัดไปที่คอมพิวเตอร์รีบูต ข้อความนี้อาจไม่ปรากฏขึ้นทั้งนี้ขึ้นอยู่กับการตั้งค่าระบบ อย่างไรก็ตาม หลังจากการเข้ารหัสไฟล์ทั้งหมดเสร็จสิ้น คอมพิวเตอร์จะรีสตาร์ทโดยอัตโนมัติ
ผู้ขโมยข้อมูล KPOT
Ransomware นี้ยังมาพร้อมกับสปายแวร์ KPOT โปรแกรมขโมยข้อมูลนี้สามารถขโมยคุกกี้และรหัสผ่านที่บันทึกไว้จากเบราว์เซอร์ที่หลากหลาย รวมถึงจากเกมที่ติดตั้งบนพีซี (รวมถึง Steam), Jabber และ Skype โปรแกรมส่งข้อความโต้ตอบแบบทันที ประเด็นที่เขาสนใจยังรวมถึงรายละเอียดการเข้าถึง FTP และ VPN หลังจากทำงานและขโมยทุกอย่างที่ทำได้แล้ว สายลับก็ลบตัวเองออกด้วยคำสั่งต่อไปนี้:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
ไม่ใช่แค่แรนซัมแวร์อีกต่อไป
การโจมตีครั้งนี้เชื่อมโยงกับธีมของการระบาดใหญ่ของโคโรนาไวรัสอีกครั้ง พิสูจน์ให้เห็นอีกครั้งว่าแรนซัมแวร์สมัยใหม่พยายามทำมากกว่าแค่เข้ารหัสไฟล์ของคุณ ในกรณีนี้ เหยื่ออาจเสี่ยงต่อการถูกขโมยรหัสผ่านไปยังเว็บไซต์และพอร์ทัลต่างๆ กลุ่มอาชญากรไซเบอร์ที่มีการจัดระเบียบระดับสูง เช่น Maze และ DoppelPaymer มีความเชี่ยวชาญในการใช้ข้อมูลส่วนบุคคลที่ถูกขโมยไปเพื่อแบล็กเมล์ผู้ใช้ หากพวกเขาไม่ต้องการจ่ายค่ากู้คืนไฟล์ อันที่จริง จู่ๆ สิ่งเหล่านี้ก็ไม่สำคัญนัก หรือผู้ใช้มีระบบสำรองข้อมูลที่ไม่เสี่ยงต่อการโจมตีของ Ransomware
แม้จะมีความเรียบง่าย แต่ CoronaVirus ใหม่แสดงให้เห็นอย่างชัดเจนว่าอาชญากรไซเบอร์ก็พยายามเพิ่มรายได้และกำลังมองหาวิธีการสร้างรายได้เพิ่มเติม กลยุทธ์นี้ไม่ใช่เรื่องใหม่ เป็นเวลาหลายปีแล้วที่นักวิเคราะห์ของ Acronis สังเกตการโจมตีของแรนซัมแวร์ที่ยังฝังโทรจันทางการเงินบนคอมพิวเตอร์ของเหยื่อด้วย ยิ่งไปกว่านั้น ในสภาวะสมัยใหม่ การโจมตีด้วยแรนซัมแวร์สามารถทำหน้าที่เป็นการก่อวินาศกรรมเพื่อหันเหความสนใจจากเป้าหมายหลักของผู้โจมตี นั่นก็คือ การรั่วไหลของข้อมูล
ไม่ทางใดก็ทางหนึ่ง การป้องกันภัยคุกคามดังกล่าวสามารถทำได้โดยใช้แนวทางการป้องกันทางไซเบอร์แบบผสมผสานเท่านั้น และระบบรักษาความปลอดภัยสมัยใหม่สามารถบล็อกภัยคุกคามดังกล่าว (และส่วนประกอบทั้งสองอย่าง) ได้อย่างง่ายดาย แม้กระทั่งก่อนที่พวกเขาจะเริ่มใช้อัลกอริธึมการศึกษาสำนึกโดยใช้เทคโนโลยีการเรียนรู้ของเครื่อง หากรวมเข้ากับระบบสำรอง/กู้คืนความเสียหาย ไฟล์แรกที่เสียหายจะถูกกู้คืนทันที
สำหรับผู้ที่สนใจ ผลรวมแฮชของไฟล์ IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้ , โปรด.
คุณเคยประสบกับการเข้ารหัสและการโจรกรรมข้อมูลไปพร้อม ๆ กันหรือไม่?
-
ลด 19,0%ใช่4
-
ลด 42,9%หมายเลข 9
-
ลด 28,6%เราจะต้องระมัดระวังมากขึ้น6
-
ลด 9,5%ฉันไม่ได้คิดถึงมัน2
ผู้ใช้ 21 คนโหวต ผู้ใช้ 5 รายงดออกเสียง
ที่มา: will.com