Get best of the week

الفيروس التاجي الرقمي - مزيج من برامج الفدية و Infostealer

تستمر التهديدات المختلفة باستخدام موضوع الفيروس التاجي في الظهور على الشبكة. واليوم نريد مشاركة المعلومات حول مثال واحد مثير للاهتمام يوضح بوضوح رغبة المهاجمين في زيادة أرباحهم. تهديد 2 في 1 يطلق على نفسه اسم CoronaVirus. والمعلومات التفصيلية حول البرامج الضارة تحت القطع.

صورة

بدأ استغلال موضوع الفيروس التاجي منذ أكثر من شهر. استخدم المهاجمون المصلحة العامة في المعلومات حول انتشار الوباء ، حول التدابير المتخذة. ظهر عدد كبير من التطبيقات المصغرة والتطبيقات الخاصة والمواقع المزيفة على الشبكة مما يعرض المستخدمين للخطر ويسرق البيانات ويشفّر أحيانًا محتويات الجهاز ويتطلب فدية. هذا هو بالضبط ما يفعله تطبيق Coronavirus Tracker للجوال ، والذي منع الوصول إلى الجهاز ويتطلب فدية.

أصبح موضوع منفصل لانتشار البرامج الضارة فوضى مع تدابير الدعم المالي. في العديد من البلدان ، وعدت الحكومة بتقديم المساعدة والدعم للمواطنين العاديين وممثلي الأعمال التجارية خلال الوباء. وفي أي مكان تقريبًا ، ليس الحصول على هذه المساعدة بسيطًا وشفافًا. علاوة على ذلك ، يأمل الكثيرون في مساعدتهم مالياً ، لكنهم لا يعرفون ما إذا كانوا مدرجين في قائمة أولئك الذين سيحصلون على إعانات من الدولة أم لا. ومن غير المرجح أن يرفض هؤلاء الذين حصلوا بالفعل على شيء من الدولة مساعدة إضافية.

هذا هو بالضبط ما يستخدمه المهاجمون. يرسلون رسائل نيابة عن البنوك والهيئات التنظيمية المالية ووكالات الضمان الاجتماعي يطلبون المساعدة. تحتاج فقط إلى اتباع الرابط ...

ليس من الصعب التكهن بأنه بعد النقر على عنوان مشكوك فيه ، ينتهي الأمر بشخص ما على موقع تصيد حيث تتم دعوته لإدخال معلوماته المالية. في أغلب الأحيان ، إلى جانب فتح الموقع ، يحاول المهاجمون إصابة جهاز كمبيوتر ببرنامج طروادة يهدف إلى سرقة البيانات الشخصية ، وعلى وجه الخصوص ، المعلومات المالية. في بعض الأحيان في مرفق الرسالة يوجد ملف محمي بكلمة مرور يحتوي على "معلومات مهمة حول كيفية الحصول على دعم من الحكومة" في شكل برنامج تجسس أو برنامج فدية.

بالإضافة إلى ذلك ، بدأت البرامج من فئة Infostealer أيضًا في الانتشار مؤخرًا على الشبكات الاجتماعية. على سبيل المثال ، إذا كنت ترغب في تنزيل بعض أدوات Windows الشرعية ، قل wisecleaner [.] الأفضل ، قد يأتي Infostealer معه. من خلال النقر على الرابط ، يتلقى المستخدم محمل إقلاع يقوم بتنزيل البرامج الضارة مع الأداة المساعدة ، ويتم تحديد مصدر التنزيل اعتمادًا على تكوين كمبيوتر الضحية.

فيروس كورونا 2022


لماذا قضينا هذه الرحلة كلها؟ والحقيقة هي أن البرامج الضارة الجديدة ، التي لم يفكر منشئوها في الاسم لفترة طويلة جدًا ، استوعبت كل التوفيق وجعلت الضحية سعيدة بنوعين من الهجمات. يتم تحميل برنامج تشفير (CoronaVirus) من جهة ، و KPOT infostealer من ناحية أخرى.

فيروس كورونا فيروس الفدية


برنامج التشفير نفسه عبارة عن ملف صغير بحجم 44 كيلوبايت. التهديد بسيط ولكنه فعال. يقوم الملف القابل للتنفيذ بنسخ نفسه باسم عشوائي في %AppData%\Local\Temp\vprdh.exe، ويقوم أيضًا بتثبيت مفتاح في التسجيل \Windows\CurrentVersion\Run. بعد وضع النسخة ، يتم حذف الأصل.

مثل معظم برامج الفدية ، يحاول CoronaVirus حذف النسخ الاحتياطية المحلية وتعطيل ملفات التظليل عن طريق تنفيذ أوامر النظام التالية: بعد ذلك ، يبدأ البرنامج في تشفير الملفات. سيحتوي اسم كل ملف مشفر في البداية ، وسيظل كل شيء آخر كما هو. بالإضافة إلى ذلك ، يغير برنامج الفدية اسم محرك الأقراص C إلى CoronaVirus.
C:\Windows\system32\VSSADMIN.EXE Delete Shadows /All /Quiet
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe delete backup -keepVersions:0 -quiet

coronaVi2022@protonmail.ch__


صورة

في كل دليل تمكن هذا الفيروس من إصابة ، يظهر ملف CoronaVirus.txt الذي يحتوي على تعليمات الدفع. عملية إعادة الشراء هي فقط 0.008 بيتكوين أو ما يقرب من 60 دولارًا. يجب أن أقول ، هذا مؤشر متواضع للغاية. والأمر هنا هو إما أن المؤلف لم يضع لنفسه هدفًا لإثراء نفسه بشكل كبير ... أو ، على العكس ، قرر أن هذا مبلغ رائع يمكن لكل مستخدم يجلس في المنزل على العزلة الذاتية أن يدفع. موافق ، إذا لم تتمكن من الخروج ، فإن 60 دولارًا لجعل الكمبيوتر يعمل مرة أخرى ليس كثيرًا.

صورة

بالإضافة إلى ذلك ، يكتب Ransomware الجديد DOS صغير قابل للتنفيذ في مجلد للملفات المؤقتة ويسجله في التسجيل تحت مفتاح BootExecute بحيث يتم عرض تعليمات إجراء الدفع في المرة التالية التي يتم فيها إعادة تشغيل الكمبيوتر. اعتمادًا على معلمات الأنظمة ، قد لا تظهر هذه الرسالة. ومع ذلك ، بعد تشفير جميع الملفات ، سيتم إعادة تشغيل الكمبيوتر تلقائيًا.

صورة

Infostealer KPOT


يأتي برنامج Ransomware أيضًا مع برنامج تجسس KPOT. يمكن لجهاز Infostealer هذا سرقة ملفات تعريف الارتباط وكلمات المرور المحفوظة من مجموعة متنوعة من المتصفحات ، وكذلك من الألعاب المثبتة على جهاز كمبيوتر (بما في ذلك Steam) ومرسلي Jabber و Skype. تشمل مجالات اهتمامه أيضًا الوصول إلى FTP و VPN. بعد قيامه بعمله وسرقة كل ما هو ممكن ، يزيل الجاسوس نفسه بالأمر التالي:

cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe

بالفعل ليس فقط Ransomware


هذا الهجوم ، المرتبط مرة أخرى بموضوع جائحة الفيروسات التاجية ، يثبت مرة أخرى أن برامج الفدية الحديثة لا تسعى فقط إلى تشفير ملفاتك. في هذه الحالة ، تتعرض الضحية لخطر سرقة كلمات المرور لمواقع وبوابات مختلفة. لقد واجهت الجماعات الإجرامية السيبرانية عالية التنظيم مثل Maze و DoppelPaymer بالفعل تعليق استخدام البيانات الشخصية المسروقة لمستخدمي الابتزاز إذا لم يرغبوا في الدفع لاسترداد الملفات. في الواقع ، فجأة ليست مهمة جدًا ، أو أن المستخدم لديه نظام نسخ احتياطي لا يستسلم لهجوم Ransomware.

على الرغم من بساطته ، يوضح CoronaVirus الجديد بوضوح أن المجرمين الإلكترونيين يسعون أيضًا إلى زيادة دخلهم والبحث عن وسائل إضافية لتحقيق الدخل. الاستراتيجية نفسها ليست جديدة - لعدة سنوات حتى الآن ، كان محللو أكرونيس يراقبون الهجمات من قبل المبرمجين ، الذين يزرعون أيضًا أحصنة طروادة المالية على كمبيوتر الضحية. علاوة على ذلك ، في الظروف الحديثة ، يمكن أن يكون هجوم التشفير بشكل عام تحويلًا من أجل تحويل الانتباه عن الهدف الرئيسي للمهاجمين - تسرب البيانات.

بطريقة أو بأخرى ، لا يمكن تحقيق الحماية من هذه التهديدات إلا باستخدام نهج متكامل للدفاع السيبراني. كما أن أنظمة الأمان الحديثة تمنع هذه التهديدات بسهولة (وكلاهما مكون) حتى قبل بدء العمل بسبب الخوارزميات الإرشادية باستخدام تقنيات التعلم الآلي. في حالة التكامل مع نظام النسخ الاحتياطي / التعافي من الكوارث ، سيتم استعادة الملفات التالفة الأولى على الفور.

صورة

بالنسبة للمهتمين ، تجزئة ملفات

IoC: CoronaVirus
Ransomware : 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3 Kpot infostealer: a08db3b44c713a9615ccaaaaaa4caaaa4aaa

More articles:


All Articles