Coronavirüs temalarını kullanan çeşitli tehditler çevrimiçi olarak görünmeye devam ediyor. Bugün, saldırganların karlarını en üst düzeye çıkarma arzusunu açıkça gösteren ilginç bir örnek hakkında bilgi paylaşmak istiyoruz. "2'si 1 arada" kategorisindeki tehdit kendisine CoronaVirus adını veriyor. Ve kötü amaçlı yazılımla ilgili ayrıntılı bilgiler kesinti altında.
Coronavirüs temasının istismarı bir aydan fazla bir süre önce başladı. Saldırganlar, kamuoyunun salgının yayılması ve alınan tedbirlerle ilgili bilgilere olan ilgisinden yararlandı. İnternette kullanıcıları tehlikeye atan, verileri çalan ve bazen cihazın içeriğini şifreleyip fidye talep eden çok sayıda farklı muhbir, özel uygulama ve sahte site ortaya çıktı. Cihaza erişimi engelleyerek fidye talep eden Coronavirüs Takipçisi mobil uygulamasının yaptığı da tam olarak budur.
Kötü amaçlı yazılımın yayılmasıyla ilgili ayrı bir sorun da mali destek önlemleriyle ilgili kafa karışıklığıydı. Pek çok ülkede hükümet, salgın sırasında sıradan vatandaşlara ve iş dünyasının temsilcilerine yardım ve destek sözü verdi. Ve neredeyse hiçbir yerde bu yardım basit ve şeffaf bir şekilde alınmıyor. Üstelik pek çok kişi kendilerine maddi yardım sağlanacağını umuyor ancak devlet yardımı alacaklar listesine dahil olup olmadıklarını bilmiyor. Ve zaten devletten bir şeyler almış olanların ek yardımı reddetmesi pek olası değildir.
Saldırganların faydalandığı şey de tam olarak budur. Bankalar, mali düzenleyiciler ve sosyal güvenlik yetkilileri adına yardım teklifinde bulunan mektuplar gönderiyorlar. Linki takip etmeniz yeterli...
Bir kişinin şüpheli bir adrese tıkladıktan sonra finansal bilgilerini girmesinin istendiği bir kimlik avı sitesine gireceğini tahmin etmek zor değil. Çoğu zaman, saldırganlar bir web sitesini açarken aynı anda kişisel verileri ve özellikle finansal bilgileri çalmayı amaçlayan bir bilgisayara Truva atı programı bulaştırmaya çalışırlar. Bazen bir e-posta eki, casus yazılım veya fidye yazılımı biçiminde "devlet desteğini nasıl alabileceğinize ilişkin önemli bilgiler" içeren, parola korumalı bir dosya içerir.
Ayrıca son zamanlarda Infostealer kategorisindeki programlar da sosyal ağlarda yayılmaya başladı. Örneğin, bazı meşru Windows yardımcı programlarını indirmek istiyorsanız, örneğinwisecleaner[.]en iyisi, Infostealer da onunla birlikte gelebilir. Bağlantıya tıklandığında kullanıcı, yardımcı programla birlikte kötü amaçlı yazılım indiren bir indirici alır ve indirme kaynağı, kurbanın bilgisayarının yapılandırmasına bağlı olarak seçilir.
Koronavirüs 2022
Bütün bu geziyi neden yaptık? Gerçek şu ki, yaratıcılarının adı üzerinde çok fazla düşünmediği yeni kötü amaçlı yazılım, en iyilerini emdi ve kurbanı aynı anda iki tür saldırıyla memnun etti. Bir yanda şifreleme programı (CoronaVirus) yüklü, diğer yanda KPOT bilgi hırsızı.
CoronaVirüs fidye yazılımı
Fidye yazılımının kendisi 44 KB boyutunda küçük bir dosyadır. Tehdit basit ama etkilidir. Yürütülebilir dosya kendisini rastgele bir adla kopyalar. %AppData%LocalTempvprdh.exeve ayrıca kayıt defterindeki anahtarı ayarlar WindowsCurrentVersionRun. Kopya yerleştirildikten sonra orijinal silinir.
Çoğu fidye yazılımı gibi CoronaVirus da aşağıdaki sistem komutlarını çalıştırarak yerel yedeklemeleri silmeye ve dosya gölgelemeyi devre dışı bırakmaya çalışır:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Daha sonra yazılım dosyaları şifrelemeye başlar. Her şifrelenmiş dosyanın adı şunları içerecektir: [email protected]__ başlangıçta ve geri kalan her şey aynı kalır.
Ayrıca fidye yazılımı C sürücüsünün adını da CoronaVirus olarak değiştiriyor.
Bu virüsün bulaşmayı başardığı her dizinde ödeme talimatlarını içeren bir CoronaVirus.txt dosyası beliriyor. Fidye yalnızca 0,008 bitcoin veya yaklaşık 60 dolardır. Bunun çok mütevazı bir rakam olduğunu söylemeliyim. Ve burada mesele şu ki, ya yazar kendine çok zengin olma hedefini koymadı... ya da tam tersine, bunun evde kendini izole eden her kullanıcının ödeyebileceği mükemmel bir miktar olduğuna karar verdi. Katılıyorum, eğer dışarı çıkamıyorsanız, o zaman bilgisayarınızın tekrar çalışmasını sağlamak için 60 dolar o kadar da fazla değil.
Ayrıca yeni Ransomware, geçici dosyalar klasörüne küçük bir yürütülebilir DOS dosyası yazar ve bunu BootExecute anahtarı altında kayıt defterine kaydeder, böylece ödeme talimatları bilgisayarın bir sonraki yeniden başlatılmasında gösterilir. Sistem ayarlarına bağlı olarak bu mesaj görünmeyebilir. Ancak tüm dosyaların şifrelenmesi tamamlandıktan sonra bilgisayar otomatik olarak yeniden başlatılacaktır.
KPOT bilgi hırsızı
Bu Ransomware aynı zamanda KPOT casus yazılımıyla birlikte gelir. Bu bilgi hırsızı, çeşitli tarayıcılardan, ayrıca PC'de yüklü oyunlardan (Steam dahil), Jabber ve Skype anlık mesajlaşma programlarından çerezleri ve kayıtlı şifreleri çalabilir. İlgi alanı aynı zamanda FTP ve VPN'e erişim detaylarını da içermektedir. İşini yapıp elinden gelen her şeyi çalan casus, aşağıdaki komutla kendini siler:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Artık sadece Ransomware değil
Bir kez daha koronavirüs pandemisi temasıyla ilişkilendirilen bu saldırı, modern fidye yazılımlarının dosyalarınızı şifrelemekten daha fazlasını yapmaya çalıştığını bir kez daha kanıtlıyor. Bu durumda mağdur çeşitli site ve portalların şifrelerinin çalınması riskiyle karşı karşıya kalır. Maze ve DoppelPaymer gibi son derece organize siber suçlu grupları, dosya kurtarma için ödeme yapmak istemeyen kullanıcılara şantaj yapmak için çalınan kişisel verileri kullanma konusunda ustalaştı. Aslında birdenbire o kadar da önemli değiller veya kullanıcının Ransomware saldırılarına karşı duyarlı olmayan bir yedekleme sistemi var.
Basitliğine rağmen yeni CoronaVirus, siber suçluların da gelirlerini artırmaya çalıştıklarını ve ek para kazanma yolları aradıklarını açıkça gösteriyor. Stratejinin kendisi yeni değil; Acronis analistleri birkaç yıldır kurbanın bilgisayarına finansal Truva atları da yerleştiren fidye yazılımı saldırılarını gözlemliyor. Dahası, modern koşullarda, bir fidye yazılımı saldırısı, dikkati saldırganların asıl amacı olan veri sızıntısından uzaklaştırmak için genellikle bir sabotaj görevi görebilir.
Öyle ya da böyle, bu tür tehditlere karşı koruma ancak siber savunmaya entegre bir yaklaşımla sağlanabilir. Ve modern güvenlik sistemleri, bu tür tehditleri (ve bunların her iki bileşenini), makine öğrenimi teknolojilerini kullanan buluşsal algoritmaları kullanmaya başlamadan önce bile kolayca engeller. Yedekleme/olağanüstü durum kurtarma sistemi ile entegre edilirse, ilk zarar gören dosyalar anında geri yüklenir.
İlgilenenler için IoC dosyalarının karma toplamları:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Ankete sadece kayıtlı kullanıcılar katılabilir. Lütfen.
Hiç eşzamanlı şifreleme ve veri hırsızlığı yaşadınız mı?
-
İNDİRİMEvet4
-
İNDİRİMhayır9
-
İNDİRİMDaha dikkatli olmamız gerekecek6
-
İNDİRİMBunu hiç düşünmedim bile2
21 kullanıcı oy kullandı. 5 kullanıcı çekimser kaldı.
Kaynak: habr.com