Get best of the week

Coronavirus digital: una combinación de ransomware e infostealer

Varias amenazas que usan el tema del coronavirus continúan apareciendo en la red. Y hoy queremos compartir información sobre una instancia interesante que demuestre claramente el deseo de los atacantes de maximizar sus ganancias. Una amenaza 2 en 1 se llama a sí misma CoronaVirus. Y la información detallada sobre el malware está por debajo.

imagen

La explotación del tema del coronavirus comenzó hace más de un mes. Los atacantes utilizaron el interés público en la información sobre la propagación de la pandemia, sobre las medidas tomadas. Una gran cantidad de widgets diferentes, aplicaciones especiales y sitios falsos han aparecido en la red que comprometen a los usuarios, roban datos y, a veces, cifran el contenido del dispositivo y requieren un rescate. Esto es exactamente lo que hace la aplicación móvil Coronavirus Tracker, que bloqueó el acceso al dispositivo y requirió un rescate.

Un tema separado para la propagación del malware se ha convertido en un desastre con las medidas de apoyo financiero. En muchos países, el gobierno ha prometido asistencia y apoyo a ciudadanos comunes y representantes de empresas durante una pandemia. Y en casi cualquier lugar, obtener esta ayuda no es simple y transparente. Además, muchos esperan recibir ayuda financiera, pero no saben si están incluidos en la lista de quienes recibirán subsidios estatales o no. Y es poco probable que aquellos que ya han recibido algo del estado rechacen asistencia adicional.

Esto es exactamente lo que usan los atacantes. Envían cartas en nombre de bancos, reguladores financieros y agencias de seguridad social pidiendo ayuda. Solo necesitas seguir el enlace ...

No es difícil adivinar que después de hacer clic en una dirección dudosa, una persona termina en un sitio de phishing donde se le invita a ingresar su información financiera. La mayoría de las veces, junto con la apertura del sitio, los atacantes intentan infectar una computadora con un programa troyano destinado a robar datos personales y, en particular, información financiera. A veces, en el archivo adjunto a la carta hay un archivo protegido con contraseña que contiene "información importante sobre cómo puede obtener apoyo del gobierno" en forma de spyware o ransomware.

Además, los programas de la categoría Infostealer también han comenzado a difundirse recientemente en las redes sociales. Por ejemplo, si desea descargar alguna utilidad legítima de Windows, por ejemplo, wisecleaner [.] Lo mejor es que Infostealer puede venir con él. Al hacer clic en el enlace, el usuario recibe un gestor de arranque que descarga malware junto con la utilidad, y la fuente de descarga se selecciona según la configuración de la computadora de la víctima.

Coronavirus 2022


¿Por qué pasamos toda esta excursión? El hecho es que el nuevo malware, cuyos creadores no pensaron en el nombre durante demasiado tiempo, simplemente absorbió lo mejor y hizo feliz a la víctima con dos tipos de ataques. El programa de cifrado (CoronaVirus) se carga por un lado, y KPOT infostealer por el otro.

Ransomware Coronavirus


El encriptador en sí es un pequeño archivo de 44 KB. La amenaza es simple pero efectiva. El archivo ejecutable se copia bajo un nombre aleatorio %AppData%\Local\Temp\vprdh.exey también instala una clave en el registro \Windows\CurrentVersion\Run. Después de colocar la copia, se elimina el original.

Como la mayoría de los programas de ransomware, CoronaVirus intenta eliminar las copias de seguridad locales y deshabilitar los archivos de sombreado ejecutando los siguientes comandos del sistema: A continuación, el software comienza a cifrar los archivos. El nombre de cada archivo cifrado contendrá al principio, y todo lo demás permanece igual. Además, el ransomware cambia el nombre de la unidad C a CoronaVirus.
C:\Windows\system32\VSSADMIN.EXE Delete Shadows /All /Quiet
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe delete backup -keepVersions:0 -quiet

coronaVi2022@protonmail.ch__


imagen

En cada directorio que este virus logró infectar, aparece un archivo CoronaVirus.txt, que contiene instrucciones de pago. La recompra es de solo 0.008 bitcoins o aproximadamente $ 60. Debo decir que este es un indicador muy modesto. Y aquí el punto es que el autor no se fijó el objetivo de enriquecerse enormemente ... o, por el contrario, decidió que esta es una cantidad maravillosa que cada usuario que se sienta en casa con autoaislamiento puede pagar. De acuerdo, si no puede salir, entonces $ 60 para que la computadora vuelva a funcionar no es tanto.

imagen

Además, el nuevo Ransomware escribe un pequeño ejecutable de DOS en una carpeta para archivos temporales y lo registra en el registro bajo la tecla BootExecute para que las instrucciones para realizar el pago se muestren la próxima vez que se reinicie la computadora. Dependiendo de los parámetros de los sistemas, este mensaje puede no mostrarse. Sin embargo, después de que todos los archivos estén encriptados, la computadora se reiniciará automáticamente.

imagen

Infostealer KPOT


Este ransomware también viene con el spyware KPOT. Este infostealer puede robar cookies y contraseñas guardadas de una variedad de navegadores, así como de juegos instalados en una PC (incluido Steam), mensajeros Jabber y Skype. Sus áreas de interés también incluyen acceso a FTP y VPN. Después de hacer su trabajo y robar todo lo que es posible, el espía se elimina con el siguiente comando:

cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe

Ya no solo el ransomware


Este ataque, una vez más vinculado al tema de la pandemia de coronavirus, prueba una vez más que el ransomware moderno no solo busca encriptar sus archivos. En este caso, la víctima corre el riesgo de robar contraseñas a diferentes sitios y portales. Grupos cibercriminales altamente organizados como Maze y DoppelPaymer ya han dominado el uso de datos personales robados a los usuarios de chantaje si no quieren pagar la recuperación de archivos. De hecho, de repente no son tan importantes, o el usuario tiene un sistema de respaldo que no sucumbe al ataque de Ransomware.

A pesar de su simplicidad, el nuevo CoronaVirus demuestra claramente que los ciberdelincuentes también buscan aumentar sus ingresos y buscar medios adicionales de monetización. La estrategia en sí no es nueva: desde hace varios años, los analistas de Acronis han estado observando los ataques de los criptógrafos, que también están plantando troyanos financieros en la computadora de la víctima. Además, en condiciones modernas, un ataque de cifrado generalmente puede ser una distracción para desviar la atención del objetivo principal de los atacantes: la fuga de datos.

De una forma u otra, la protección contra tales amenazas solo se puede lograr utilizando un enfoque integrado para la defensa cibernética. Y los sistemas de seguridad modernos bloquean fácilmente tales amenazas (que son componentes) incluso antes de comenzar a trabajar debido a algoritmos heurísticos que utilizan tecnologías de aprendizaje automático. En caso de integración con el sistema de respaldo / recuperación ante desastres, los primeros archivos dañados se restaurarán inmediatamente.

imagen

Para los interesados, el hash de los archivos del COI:

coronavirus ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot Infostealer: a08db3b44c713a96fe07ec240c1540c440c1540c440c1540c2cd4cd4c4aaaaaaaaaaaaaaaaaaaaaa

More articles:


All Articles