Get best of the week

Digital Coronavirus - Eine Kombination aus Ransomware und Infostealer

Im Netzwerk werden weiterhin verschiedene Bedrohungen mit dem Thema Coronavirus angezeigt. Und heute möchten wir Informationen über eine interessante Instanz austauschen, die den Wunsch der Angreifer nach Maximierung ihrer Gewinne deutlich macht. Eine 2-in-1-Bedrohung nennt sich CoronaVirus. Und detaillierte Informationen über die Malware sind unter dem Schnitt.

Bild

Die Ausbeutung des Themas Coronavirus begann vor mehr als einem Monat. Die Angreifer nutzten das öffentliche Interesse an Informationen über die Ausbreitung der Pandemie und über die ergriffenen Maßnahmen. Im Netzwerk ist eine große Anzahl verschiedener Widgets, spezieller Anwendungen und gefälschter Websites erschienen, die Benutzer gefährden, Daten stehlen und manchmal den Inhalt des Geräts verschlüsseln und ein Lösegeld erfordern. Genau dies leistet die mobile Coronavirus Tracker-App, die den Zugriff auf das Gerät blockiert und ein Lösegeld erfordert.

Ein separates Thema für die Verbreitung von Malware ist zu einem Durcheinander mit finanziellen Unterstützungsmaßnahmen geworden. In vielen Ländern hat die Regierung normalen Bürgern und Unternehmensvertretern während einer Pandemie Hilfe und Unterstützung versprochen. Und fast überall ist es nicht einfach und transparent, diese Hilfe zu erhalten. Darüber hinaus hoffen viele, dass ihnen finanziell geholfen wird, wissen aber nicht, ob sie in die Liste derjenigen aufgenommen werden, die staatliche Subventionen erhalten oder nicht. Und diejenigen, die bereits etwas vom Staat erhalten haben, werden wahrscheinlich keine zusätzliche Unterstützung verweigern.

Genau das verwenden Angreifer. Sie senden Briefe im Namen von Banken, Finanzaufsichtsbehörden und Sozialversicherungsagenturen, in denen sie um Hilfe bitten. Sie müssen nur dem Link folgen ...

Es ist nicht schwer zu erraten, dass eine Person nach einem Klick auf eine zweifelhafte Adresse auf einer Phishing-Site landet, auf der sie aufgefordert wird, ihre Finanzinformationen einzugeben. In den meisten Fällen versuchen Angreifer zusammen mit der Eröffnung der Website, einen Computer mit einem Trojaner-Programm zu infizieren, mit dem personenbezogene Daten und insbesondere Finanzinformationen gestohlen werden sollen. Manchmal befindet sich im Anhang des Briefes eine passwortgeschützte Datei, die „wichtige Informationen darüber, wie Sie Unterstützung von der Regierung erhalten können“ in Form von Spyware oder Ransomware enthält.

Darüber hinaus haben Programme aus der Kategorie Infostealer in jüngster Zeit begonnen, sich in sozialen Netzwerken zu verbreiten. Wenn Sie beispielsweise ein legitimes Windows-Dienstprogramm herunterladen möchten, sagen Sie Wisecleaner [.] Am besten, Infostealer wird möglicherweise mitgeliefert. Durch Klicken auf den Link erhält der Benutzer einen Bootloader, der Malware zusammen mit dem Dienstprogramm herunterlädt, und die Downloadquelle wird abhängig von der Konfiguration des Computers des Opfers ausgewählt.

Coronavirus 2022


Warum haben wir diesen ganzen Ausflug verbracht? Tatsache ist, dass die neue Malware, deren Entwickler nicht zu lange über den Namen nachgedacht haben, nur das Beste absorbiert und das Opfer mit zwei Arten von Angriffen glücklich macht. Das Verschlüsselungsprogramm (CoronaVirus) wird einerseits und der KPOT-Infostealer andererseits geladen.

Coronavirus-Ransomware


Der Verschlüsseler selbst ist eine kleine 44-KB-Datei. Die Bedrohung ist einfach, aber effektiv. Die ausführbare Datei kopiert sich unter einem zufälligen Namen in %AppData%\Local\Temp\vprdh.exeund installiert auch einen Schlüssel in der Registrierung \Windows\CurrentVersion\Run. Nach dem Einlegen der Kopie wird das Original gelöscht.

Wie die meisten Ransomware-Programme versucht CoronaVirus, lokale Sicherungen zu löschen und Shadowing-Dateien zu deaktivieren, indem die folgenden Systembefehle ausgeführt werden: Als Nächstes beginnt die Software mit der Verschlüsselung der Dateien. Der Name jeder verschlüsselten Datei wird am Anfang enthalten sein, und alles andere bleibt gleich. Darüber hinaus ändert die Ransomware den Namen von Laufwerk C in CoronaVirus.
C:\Windows\system32\VSSADMIN.EXE Delete Shadows /All /Quiet
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe delete backup -keepVersions:0 -quiet

coronaVi2022@protonmail.ch__


Bild

In jedem Verzeichnis, das dieser Virus infizieren konnte, wird eine Datei mit dem Namen CoronaVirus.txt angezeigt, die Zahlungsanweisungen enthält. Der Rückkauf beträgt nur 0,008 Bitcoins oder ungefähr 60 USD. Ich muss sagen, dies ist ein sehr bescheidener Indikator. Und hier geht es entweder darum, dass sich der Autor nicht das Ziel gesetzt hat, sich stark zu bereichern ... oder im Gegenteil, dass dies ein wunderbarer Betrag ist, den jeder Benutzer, der zu Hause aus Selbstisolation sitzt, bezahlen kann. Stimmen Sie zu, wenn Sie nicht ausgehen können, sind 60 US-Dollar, um den Computer wieder funktionsfähig zu machen, nicht so viel.

Bild

Darüber hinaus schreibt die neue Ransomware eine kleine ausführbare DOS-Datei in einen Ordner für temporäre Dateien und registriert sie in der Registrierung unter dem BootExecute-Schlüssel, damit die Anweisungen für die Zahlung beim nächsten Neustart des Computers angezeigt werden. Abhängig von den Parametern der Systeme wird diese Meldung möglicherweise nicht angezeigt. Nachdem jedoch alle Dateien verschlüsselt wurden, wird der Computer automatisch neu gestartet.

Bild

KPOT Infostealer


Diese Ransomware wird auch mit KPOT-Spyware geliefert. Dieser Infostealer kann Cookies und gespeicherte Passwörter von verschiedenen Browsern sowie von Spielen stehlen, die auf einem PC (einschließlich Steam), Jabber Messenger und Skype installiert sind. Zu seinen Interessengebieten gehört auch der Zugang zu FTP und VPN. Nachdem der Spion seine Arbeit erledigt und alles gestohlen hat, was möglich ist, entfernt er sich mit folgendem Befehl:

cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe

Bereits nicht nur Ransomware


Dieser Angriff, der erneut mit dem Thema der Coronavirus-Pandemie verbunden ist, beweist erneut, dass moderne Ransomware nicht nur versucht, Ihre Dateien zu verschlüsseln. In diesem Fall läuft das Opfer Gefahr, Passwörter für verschiedene Websites und Portale zu stehlen. Hoch organisierte Cyberkriminelle wie Maze und DoppelPaymer haben bereits den Dreh raus, gestohlene personenbezogene Daten zu verwenden, um Benutzer zu erpressen, wenn sie nicht für die Wiederherstellung von Dateien bezahlen möchten. In der Tat sind sie plötzlich nicht mehr so ​​wichtig, oder der Benutzer verfügt über ein Backup-System, das dem Ransomware-Angriff nicht erliegt.

Trotz seiner Einfachheit zeigt das neue CoronaVirus deutlich, dass Cyberkriminelle versuchen, ihr Einkommen zu steigern und zusätzliche Mittel zur Monetarisierung zu suchen. Die Strategie selbst ist nicht neu - seit einigen Jahren beobachten Acronis-Analysten Angriffe von Kryptographen, die auch finanzielle Trojaner auf den Computer des Opfers setzen. Darüber hinaus kann ein Verschlüsselungsangriff unter modernen Bedingungen im Allgemeinen eine Ablenkung sein, um die Aufmerksamkeit vom Hauptziel der Angreifer abzulenken - Datenverlust.

Auf die eine oder andere Weise kann der Schutz vor solchen Bedrohungen nur durch einen integrierten Ansatz zur Cyberabwehr erreicht werden. Moderne Sicherheitssysteme blockieren solche Bedrohungen (beide sind Komponenten) aufgrund heuristischer Algorithmen unter Verwendung von Technologien für maschinelles Lernen bereits vor Arbeitsbeginn. Bei der Integration in das Backup / Disaster Recovery-System werden die ersten beschädigten Dateien sofort wiederhergestellt.

Bild

Für Interessenten der Hash der IoC-Dateien:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot-Infostealer: a08db3b44c713a96fe0a4aa

More articles:


All Articles