Get best of the week

Coronavirus numérique - une combinaison de ransomware et d'infostealer

Diverses menaces utilisant le thème du coronavirus continuent d'apparaître sur le réseau. Et aujourd'hui, nous voulons partager des informations sur un exemple intéressant qui démontre clairement le désir des attaquants de maximiser leurs profits. Une menace 2 en 1 s'appelle CoronaVirus. Et des informations détaillées sur le malware sont sous la coupe.

image

L'exploitation du thème du coronavirus a commencé il y a plus d'un mois. Les attaquants ont utilisé l'intérêt public pour obtenir des informations sur la propagation de la pandémie, sur les mesures prises. Un grand nombre de widgets différents, d'applications spéciales et de faux sites sont apparus sur le réseau qui compromettent les utilisateurs, volent des données et parfois chiffrent le contenu de l'appareil et nécessitent une rançon. C'est exactement ce que fait l'application mobile Coronavirus Tracker, qui a bloqué l'accès à l'appareil et a nécessité une rançon.

Un sujet distinct pour la propagation des logiciels malveillants est devenu un gâchis avec les mesures de soutien financier. Dans de nombreux pays, le gouvernement a promis une assistance et un soutien aux citoyens ordinaires et aux représentants des entreprises pendant une pandémie. Et presque partout, obtenir cette aide n'est pas simple et transparent. De plus, beaucoup espèrent qu'ils seront aidés financièrement, mais ne savent pas s'ils sont inclus dans la liste de ceux qui recevront ou non des subventions de l'Etat. Et il est peu probable que ceux qui ont déjà reçu quelque chose de l'État refusent une aide supplémentaire.

C'est exactement ce que les attaquants utilisent. Ils envoient des lettres au nom des banques, des régulateurs financiers et des agences de sécurité sociale pour demander de l'aide. Il vous suffit de suivre le lien ...

Il n'est pas difficile de deviner qu'après un clic sur une adresse douteuse, une personne se retrouve sur un site de phishing où elle est invitée à saisir ses informations financières. Le plus souvent, parallèlement à l'ouverture du site, les attaquants tentent d'infecter un ordinateur avec un programme cheval de Troie visant à voler des données personnelles et, en particulier, des informations financières. Parfois, dans la pièce jointe à la lettre se trouve un fichier protégé par mot de passe qui contient «des informations importantes sur la façon dont vous pouvez obtenir de l'aide du gouvernement» sous la forme d'un spyware ou d'un ransomware.

En outre, les programmes de la catégorie Infostealer ont également récemment commencé à se diffuser sur les réseaux sociaux. Par exemple, si vous souhaitez télécharger un utilitaire Windows légitime, dites wisecleaner [.] Mieux, Infostealer pourrait bien venir avec. En cliquant sur le lien, l'utilisateur reçoit un chargeur de démarrage qui télécharge des logiciels malveillants avec l'utilitaire, et la source de téléchargement est sélectionnée en fonction de la configuration de l'ordinateur de la victime.

Coronavirus 2022


Pourquoi avons-nous passé toute cette excursion? Le fait est que le nouveau malware, dont les créateurs n'ont pas réfléchi trop longtemps au nom, a simplement absorbé le meilleur et rend la victime heureuse avec deux types d'attaques. Le programme de cryptage (CoronaVirus) est chargé d'une part, et l'infostealer KPOT d'autre part.

Coronavirus ransomware


Le chiffreur lui-même est un petit fichier de 44 Ko. La menace est simple mais efficace. Le fichier exécutable se copie sous un nom aléatoire dans %AppData%\Local\Temp\vprdh.exe, et installe également une clé dans le registre \Windows\CurrentVersion\Run. Après avoir placé la copie, l'original est supprimé.

Comme la plupart des programmes de rançongiciels, CoronaVirus essaie de supprimer les sauvegardes locales et de désactiver les fichiers d'observation en exécutant les commandes système suivantes: Ensuite, le logiciel commence à crypter les fichiers. Le nom de chaque fichier chiffré contiendra au début, et tout le reste reste le même. De plus, le ransomware change le nom du lecteur C en CoronaVirus.
C:\Windows\system32\VSSADMIN.EXE Delete Shadows /All /Quiet
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe delete backup -keepVersions:0 -quiet

coronaVi2022@protonmail.ch__


image

Dans chaque répertoire que ce virus a réussi à infecter, un fichier CoronaVirus.txt apparaît, contenant des instructions de paiement. Le rachat n'est que de 0,008 bitcoins ou environ 60 $. Je dois dire que c'est un indicateur très modeste. Et ici, le problème est que l'auteur ne s'est pas fixé pour objectif de s'enrichir considérablement ... ou, au contraire, a décidé que c'est une somme formidable que chaque utilisateur assis à la maison en auto-isolement peut payer. D'accord, si vous ne pouvez pas sortir, alors 60 $ pour faire fonctionner l'ordinateur à nouveau ce n'est pas tant.

image

De plus, le nouveau Ransomware écrit un petit exécutable DOS dans un dossier pour les fichiers temporaires et l'enregistre dans le registre sous la clé BootExecute afin que les instructions pour effectuer le paiement soient affichées au prochain redémarrage de l'ordinateur. Selon les paramètres des systèmes, ce message peut ne pas s'afficher. Cependant, une fois tous les fichiers cryptés, l'ordinateur redémarre automatiquement.

image

Infostealer KPOT


Ce Ransomware est également livré avec le logiciel espion KPOT. Cet infostealer peut voler des cookies et des mots de passe enregistrés à partir d'une variété de navigateurs, ainsi que de jeux installés sur un PC (y compris Steam), des messagers Jabber et Skype. Ses domaines d'intérêt incluent également l'accès au FTP et au VPN. Ayant fait son travail et volé tout ce qui est possible, l'espion se retire avec la commande suivante:

cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe

Déjà pas seulement un ransomware


Cette attaque, encore une fois liée au thème de la pandémie de coronavirus, prouve une fois de plus que les ransomwares modernes ne cherchent pas seulement à crypter vos fichiers. Dans ce cas, la victime court le risque de voler des mots de passe vers différents sites et portails. Des groupes cybercriminels hautement organisés tels que Maze et DoppelPaymer ont déjà pris l'habitude d'utiliser des données personnelles volées pour faire chanter les utilisateurs s'ils ne veulent pas payer pour la récupération de fichiers. En effet, du coup ils ne sont pas si importants, ou l'utilisateur dispose d'un système de sauvegarde qui ne succombe pas à l'attaque Ransomware.

Malgré sa simplicité, le nouveau CoronaVirus démontre clairement que les cybercriminels cherchent à augmenter leurs revenus et à rechercher des moyens supplémentaires de monétisation. La stratégie elle-même n'est pas nouvelle - depuis plusieurs années, les analystes d'Acronis observent des attaques de cryptographes, qui installent également des chevaux de Troie financiers sur l'ordinateur de la victime. De plus, dans les conditions modernes, une attaque par chiffreur peut généralement être un détournement afin de détourner l'attention de l'objectif principal des attaquants - la fuite de données.

D'une manière ou d'une autre, la protection contre de telles menaces ne peut être obtenue qu'en utilisant une approche intégrée de la cyberdéfense. Et les systèmes de sécurité modernes bloquent facilement ces menaces (qui sont toutes deux des composants) avant même de commencer à travailler en raison d'algorithmes heuristiques utilisant des technologies d'apprentissage automatique. En cas d'intégration avec le système de sauvegarde / reprise après sinistre, les premiers fichiers endommagés seront restaurés immédiatement.

image

Pour les personnes intéressées, le hachage des fichiers IoC:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe0cc440a40a40a40a40a

More articles:


All Articles