У мережі продовжують виникати різні небезпеки, що використовують тему коронавірусу. І сьогодні ми хочемо поділитися інформацією про один цікавий екземпляр, який наочно демонструє прагнення зловмисників максимізувати свій прибуток. Загроза категорії “2-в-1” так і називає себе CoronaVirus. А докладна інформація про шкідливу шкоду — під катом.
Експлуатація теми коронавірусу почалася вже більше місяця тому. Зловмисники використали зацікавленість громадськості інформацією про поширення пандемії, про вжиті заходи. У мережі з'явилася величезна кількість різних інформерів, спеціальних додатків та фальшивих сайтів, які компрометують користувачів, крадуть дані, а іноді шифрують вміст пристрою та вимагають викуп. Саме так робить мобільний додаток Coronavirus Tracker, який блокував доступ до пристрою і вимагав викуп.
Окремою темою для поширення шкідливих програм стала плутанина із заходами фінансової підтримки. У багатьох країнах уряд пообіцяв допомогу та підтримку простим громадянам та представникам бізнесу під час пандемії. І практично ніде отримання цієї допомоги не відбувається просто та прозоро. Більше того, багато хто сподівається на те, що їм допоможуть фінансово, але не знають, чи входять вони до переліку тих, хто отримає державні субсидії, чи не входять. Та й ті, хто вже одержав щось від держави, навряд чи відмовляться від додаткової допомоги.
Саме цим користуються зловмисники. Вони розсилають листи від імені банків, фінансових регуляторів та органів соцзахисту, в яких пропонується отримати допомогу. Потрібно лише перейти за посиланням.
Не складно здогадатися, що після кліку на сумнівну адресу людина опиняється на фішинговому сайті, де йому пропонується запровадити свою фінансову інформацію. Найчастіше одночасно з відкриттям сайту зловмисники намагаються заразити комп'ютер троянською програмою, націленою на крадіжку персональних даних та особливо фінансової інформації. Іноді у вкладенні до письма знаходиться захищений паролем файл, в якому знаходиться «важлива інформація про те, як ви можете отримати підтримку від уряду» у вигляді програми шпигуна або програми-вимагача.
Крім цього, останнім часом у соціальних мережах також стали поширюватися програми з категорії Infostealer. Наприклад, якщо ви хочете завантажити якусь легітимну утиліту Windows, скажімо, wisecleaner[.]best, у комплекті з нею цілком може йти Infostealer. Натиснувши на посилання, користувач отримує завантажувач, який завантажує разом з утилітою шкідливе програмне забезпечення, причому джерело завантаження вибирається в залежності від конфігурації комп'ютера жертви.
Коронавірус 2022
Навіщо ми провели весь цей екскурс? Справа в тому, що нове шкідливе ПЗ, творці якого не дуже довго роздумували над назвою, якраз увібрало в себе все найкраще і радує жертву відразу двома видами атак. З одного боку завантажується програма-шифрувальник (CoronaVirus), з другого — KPOT infostealer.
Програма-вимагач CoronaVirus
Сам шифрувальник є невеликим файлом розміром 44KB. Загроза проста, але ефективна. Виконуваний файл копіює себе під випадковим ім'ям у %AppData%LocalTempvprdh.exe, а також встановлює ключ у реєстрі WindowsCurrentVersionRun. Після розміщення копії оригінал видаляється.
Як і більшість програм-вимагачів CoronaVirus намагається видалити локальні резервні копії та відключити shadowing файли, виконавши наступні системні команди:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Далі програма починає шифрувати файли. Ім'я кожного зашифрованого файлу міститиме [email protected]__ на початку, а все інше залишається тим самим.
Крім цього, програма-вимагач змінює назву диска C на CoronaVirus.
У кожній директорії, яку встиг заразити цей вірус, з'являється файл CoronaVirus.txt, у якому наведено інструкції з оплати. Викуп складає всього 0,008 біткоїнів або приблизно $60. Слід сказати, це дуже скромний показник. І тут справа або в тому, що автор не поставив собі за мету сильно збагатитися... або навпаки вирішив, що це чудова сума, яку може заплатити кожен користувач, який сидить удома на самоізоляції. Погодьтеся, якщо вам не можна виходити на вулицю, то $60 за те, щоб комп'ютер знову запрацював — це не так багато.
Крім цього, нове Ransomware записує невеликий виконуваний файл DOS в папці для тимчасових файлів і реєструє його в реєстрі під ключом BootExecute, щоб інструкції з виконання платежу були показані при наступному перезавантаженні комп'ютера. Залежно від параметрів систем, це повідомлення може бути і не показано. Проте після завершення шифрування всіх файлів комп'ютер автоматично перезавантажиться.
KPOT infostealer
У комплекті з цим Ransomware йде також шпигунське програмне забезпечення KPOT. Цей infostealer може викрасти cookies і збережені паролі з різних браузерів, а також зі встановлених на ПК ігор (включаючи Steam), месенджерів Jabber і Skype. До сфери його інтересів входять і реквізити доступу до FTP та VPN. Зробивши свою справу і вкравши все, що можна, шпигун видаляє сам себе наступною командою:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Вже не лише Ransomware
Ця атака, знову прив'язана до тематики пандемії коронавірусу, ще раз доводить, що сучасні програми-змагачі прагнуть не лише зашифрувати ваші файли. У цьому випадку жертва ризикує зіткнутися з крадіжкою паролів до різних сайтів та порталів. Такі високоорганізовані групи кіберзлочинців, як Maze і DoppelPaymer, вже наловчилися використовувати вкрадені персональні дані, щоб шантажувати користувачів, якщо вони не хочуть платити за відновлення файлів. Справді, раптом вони не такі важливі, або у користувача стоїть система резервного копіювання, яка не піддається атаці Ransomware.
Незважаючи на свою простоту, новий CoronaVirus наочно демонструє, що і кіберзлочинці прагнуть підвищити свої доходи і шукають додаткові засоби монетизації. Сама стратегія не нова — вже кілька років аналітики Acronis спостерігають атаки шифрувальників, які також підсаджують фінансові трояни на комп'ютер жертви. Більше того, в сучасних умовах атака шифрувальника взагалі може мати роль диверсії, щоб відвернути увагу від основної мети зловмисників - витоку даних.
Так чи інакше, забезпечити захист від подібних загроз можна лише за допомогою комплексного підходу до кіберзахисту. А сучасні системи безпеки легко блокують подібні загрози (причому обидві складові) ще до початку роботи за рахунок евристичних алгоритмів, що використовують технології машинного навчання. У разі інтеграції з системою резервного копіювання/аварійного відновлення перші пошкоджені файли будуть відразу ж відновлені.
Для зацікавлених, хеш-суми файлів IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Тільки зареєстровані користувачі можуть брати участь в опитуванні. , будь ласка.
А ви коли-небудь стикалися з одночасним шифруванням та крадіжкою даних?
-
19,0%Так4
-
42,9%Ні9
-
28,6%Доведеться бути пильніше6
-
9,5%Навіть думок про це не було2
Проголосував 21 користувач. Утрималися 5 користувачів.
Джерело: habr.com