Get best of the week

Digital Coronavirus - Kombinasi Ransomware dan Infostealer

Berbagai ancaman menggunakan tema coronavirus terus muncul di jaringan. Dan hari ini kami ingin berbagi informasi tentang satu contoh menarik yang dengan jelas menunjukkan keinginan penyerang untuk memaksimalkan keuntungan mereka. Ancaman 2-in-1 menyebut dirinya CoronaVirus. Dan informasi terperinci tentang malware berada di bawah batas.

gambar

Eksploitasi tema coronavirus dimulai lebih dari sebulan yang lalu. Penyerang menggunakan kepentingan publik dalam informasi tentang penyebaran pandemi, tentang tindakan yang diambil. Sejumlah besar widget, aplikasi khusus, dan situs palsu telah muncul di jaringan yang membahayakan pengguna, mencuri data, dan terkadang mengenkripsi konten perangkat dan meminta tebusan. Inilah yang dilakukan oleh aplikasi seluler Coronavirus Tracker, yang memblokir akses ke perangkat dan meminta tebusan.

Topik terpisah untuk penyebaran malware telah menjadi kacau dengan langkah-langkah dukungan finansial. Di banyak negara, pemerintah telah menjanjikan bantuan dan dukungan kepada warga negara biasa dan perwakilan bisnis selama pandemi. Dan hampir di mana saja, mendapatkan bantuan ini tidak sederhana dan transparan. Selain itu, banyak yang berharap bahwa mereka akan dibantu secara finansial, tetapi tidak tahu apakah mereka termasuk dalam daftar mereka yang akan menerima subsidi negara atau tidak. Dan mereka yang telah menerima sesuatu dari negara tidak mungkin menolak bantuan tambahan.

Inilah yang digunakan penyerang. Mereka mengirim surat atas nama bank, regulator keuangan, dan agen jaminan sosial yang meminta bantuan. Anda hanya perlu mengikuti tautan ...

Tidak sulit untuk menebak bahwa setelah mengklik pada alamat yang meragukan seseorang berakhir di situs phishing di mana ia diundang untuk memasukkan informasi keuangannya. Paling sering, bersamaan dengan pembukaan situs, penyerang mencoba menginfeksi komputer dengan program Trojan yang bertujuan mencuri data pribadi dan, khususnya, informasi keuangan. Terkadang dalam lampiran surat itu terdapat file yang dilindungi kata sandi yang berisi "informasi penting tentang bagaimana Anda bisa mendapatkan dukungan dari pemerintah" dalam bentuk spyware atau ransomware.

Selain itu, program dari kategori Infostealer juga baru-baru ini mulai menyebar di jejaring sosial. Misalnya, jika Anda ingin mengunduh beberapa utilitas Windows yang sah, katakanlah wisecleaner [.] Terbaik, Infostealer mungkin datang dengannya. Dengan mengeklik tautan, pengguna menerima bootloader yang mengunduh malware bersama dengan utilitas, dan sumber unduhan dipilih tergantung pada konfigurasi komputer korban.

Coronavirus 2022


Mengapa kami menghabiskan seluruh perjalanan ini? Faktanya adalah bahwa malware baru, pencipta yang tidak memikirkan nama terlalu lama, hanya menyerap semua yang terbaik dan membuat korban senang dengan dua jenis serangan. Di satu sisi, program enkripsi (CoronaVirus) dimuat, dan di sisi lain, pemasukan KPOT.

Ransomware Coronavirus


Enkripsi itu sendiri adalah file 44KB kecil. Ancamannya sederhana tetapi efektif. File yang dapat dieksekusi menyalin dirinya sendiri dengan nama acak di %AppData%\Local\Temp\vprdh.exe, dan juga menginstal kunci dalam registri \Windows\CurrentVersion\Run. Setelah menempatkan salinan, dokumen asli dihapus.

Seperti kebanyakan program ransomware, CoronaVirus mencoba menghapus cadangan lokal dan menonaktifkan file bayangan dengan menjalankan perintah sistem berikut: Selanjutnya, perangkat lunak mulai mengenkripsi file. Nama setiap file terenkripsi akan berisi di awal, dan semua yang lain tetap sama. Selain itu, ransomware mengubah nama drive C ke CoronaVirus.
C:\Windows\system32\VSSADMIN.EXE Delete Shadows /All /Quiet
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe delete backup -keepVersions:0 -quiet

coronaVi2022@protonmail.ch__


gambar

Di setiap direktori yang berhasil diinfeksi virus ini, file CoronaVirus.txt muncul, yang berisi instruksi pembayaran. Pembelian kembali hanya 0,008 bitcoin atau sekitar $ 60. Saya harus mengatakan, ini adalah indikator yang sangat sederhana. Dan di sini masalahnya adalah bahwa penulis tidak menetapkan sendiri tujuan untuk memperkaya dirinya sendiri ... atau, sebaliknya, memutuskan bahwa ini adalah jumlah yang luar biasa yang dapat dibayar oleh setiap pengguna yang duduk di rumah dengan isolasi diri. Setuju, jika Anda tidak bisa keluar, maka $ 60 untuk membuat komputer berfungsi kembali tidak terlalu banyak.

gambar

Selain itu, Ransomware baru menulis file kecil yang dapat dieksekusi DOS di folder untuk file sementara dan mendaftarkannya di registri di bawah kunci BootExecute sehingga instruksi pembayaran akan ditampilkan pada saat komputer dihidupkan ulang. Bergantung pada parameter sistem, pesan ini mungkin tidak ditampilkan. Namun, setelah semua file dienkripsi, komputer akan secara otomatis restart.

gambar

Infostealer KPOT


Ransomware ini juga dilengkapi dengan spyware KPOT. Infostealer ini dapat mencuri cookie dan kata sandi yang disimpan dari berbagai browser, serta dari game yang diinstal pada PC (termasuk Steam), messenger Jabber dan Skype. Bidang minatnya juga mencakup akses ke FTP dan VPN. Setelah melakukan pekerjaannya dan mencuri segala sesuatu yang mungkin, mata-mata tersebut memindahkan dirinya dengan perintah berikut:

cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe

Sudah Bukan Hanya Ransomware


Serangan ini, sekali lagi terkait dengan tema pandemi coronavirus, membuktikan sekali lagi bahwa ransomware modern berusaha tidak hanya untuk mengenkripsi file Anda. Dalam hal ini, korban berisiko mencuri kata sandi ke berbagai situs dan portal. Kelompok penjahat cyber yang sangat terorganisir seperti Maze dan DoppelPaymer sudah terbiasa menggunakan data pribadi curian untuk memeras pengguna jika mereka tidak ingin membayar untuk pemulihan file. Memang, tiba-tiba mereka tidak begitu penting, atau pengguna memiliki sistem cadangan yang tidak menyerah pada serangan Ransomware.

Terlepas dari kesederhanaannya, CoronaVirus yang baru dengan jelas menunjukkan bahwa penjahat dunia maya berusaha untuk meningkatkan pendapatan mereka dan mencari cara tambahan untuk mendapatkan uang. Strategi itu sendiri bukanlah hal baru - selama beberapa tahun sekarang analis Acronis telah mengamati serangan oleh cryptographers, yang juga menanam trojan keuangan di komputer korban. Selain itu, dalam kondisi modern, serangan enkripsi umumnya dapat menjadi pengalih perhatian untuk mengalihkan perhatian dari tujuan utama penyerang - kebocoran data.

Dengan satu atau lain cara, perlindungan terhadap ancaman semacam itu hanya dapat dicapai dengan menggunakan pendekatan terpadu untuk pertahanan dunia maya. Dan sistem keamanan modern dengan mudah memblokir ancaman semacam itu (keduanya merupakan komponen) bahkan sebelum mulai bekerja karena algoritma heuristik menggunakan teknologi pembelajaran mesin. Dalam hal integrasi dengan sistem cadangan / pemulihan bencana, file yang rusak pertama akan segera dipulihkan.

gambar

Bagi mereka yang berminat, hash dari file

IoC : CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3baac7c40c2c3b0c3c2bbc3b03b07bbbbbbbmbmbmwmnkwmgjmnjjjnjjjnjjjjjjjjjgjjg

More articles:


All Articles