Get best of the week

Coronavírus digital - uma combinação de ransomware e infostealer

Várias ameaças usando o tema do coronavírus continuam aparecendo na rede. E hoje queremos compartilhar informações sobre uma instância interessante que demonstre claramente o desejo dos invasores de maximizar seus lucros. Uma ameaça 2 em 1 chama-se CoronaVirus. E informações detalhadas sobre o malware estão em falta.

imagem

A exploração do tema do coronavírus começou há mais de um mês. Os atacantes usaram o interesse público em informações sobre a disseminação da pandemia, sobre as medidas tomadas. Um grande número de widgets, aplicativos especiais e sites falsos apareceram na rede que comprometem os usuários, roubam dados e às vezes criptografam o conteúdo do dispositivo e exigem resgate. É exatamente isso que o aplicativo móvel Coronavirus Tracker faz, que bloqueou o acesso ao dispositivo e exigiu um resgate.

Um tópico separado para a disseminação de malware se tornou uma bagunça com as medidas de suporte financeiro. Em muitos países, o governo prometeu assistência e apoio a cidadãos comuns e representantes de empresas durante uma pandemia. E em quase qualquer lugar, obter essa ajuda não é simples e transparente. Além disso, muitos esperam que sejam ajudados financeiramente, mas não sabem se estão incluídos na lista daqueles que receberão subsídios estatais ou não. E aqueles que já receberam algo do estado provavelmente não recusarão assistência adicional.

É exatamente isso que os atacantes usam. Eles enviam cartas em nome de bancos, reguladores financeiros e agências de previdência social pedindo ajuda. Você só precisa seguir o link ...

Não é difícil adivinhar que, depois de um clique em um endereço duvidoso, uma pessoa acaba em um site de phishing, onde é convidada a inserir suas informações financeiras. Na maioria das vezes, junto com a abertura do site, os invasores tentam infectar um computador com um programa Trojan que visa roubar dados pessoais e, em particular, informações financeiras. Às vezes, no anexo à carta há um arquivo protegido por senha que contém "informações importantes sobre como obter suporte do governo" na forma de spyware ou ransomware.

Além disso, os programas da categoria Infostealer também começaram recentemente a se espalhar nas redes sociais. Por exemplo, se você deseja baixar algum utilitário legítimo do Windows, diga wisecleaner [.] Melhor, o Infostealer pode vir com ele. Ao clicar no link, o usuário recebe um gerenciador de inicialização que baixa malware junto com o utilitário, e a fonte de download é selecionada dependendo da configuração do computador da vítima.

Coronavirus 2022


Por que passamos essa excursão inteira? O fato é que o novo malware, cujos criadores não pensaram no nome por muito tempo, apenas absorveu tudo de melhor e deixa a vítima feliz com dois tipos de ataques. O programa de criptografia (CoronaVirus) é carregado, por um lado, e o KPOT infostealer, por outro.

Coronavirus ransomware


O criptografador em si é um pequeno arquivo de 44 KB. A ameaça é simples, mas eficaz. O arquivo executável se copia com um nome aleatório %AppData%\Local\Temp\vprdh.exee também instala uma chave no registro \Windows\CurrentVersion\Run. Depois de colocar a cópia, o original é excluído.

Como a maioria dos programas de ransomware, o CoronaVirus tenta excluir backups locais e desativar os arquivos de sombra executando os seguintes comandos do sistema: Em seguida, o software começa a criptografar os arquivos. O nome de cada arquivo criptografado conterá no início e todo o resto permanece o mesmo. Além disso, o ransomware altera o nome da unidade C para CoronaVirus.
C:\Windows\system32\VSSADMIN.EXE Delete Shadows /All /Quiet
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe delete backup -keepVersions:0 -quiet

coronaVi2022@protonmail.ch__


imagem

Em cada diretório que esse vírus conseguiu infectar, aparece um arquivo CoronaVirus.txt, que contém instruções de pagamento. A recompra é de apenas 0,008 bitcoins ou aproximadamente US $ 60. Devo dizer que este é um indicador muito modesto. E aqui a questão é que o autor não se propôs a se enriquecer muito ... ou, pelo contrário, decidiu que essa é uma quantia maravilhosa que cada usuário sentado em casa, isolado, pode pagar. Concordo, se você não pode sair, então US $ 60 para fazer o computador funcionar novamente não é tanto.

imagem

Além disso, o novo Ransomware grava um pequeno arquivo executável do DOS em uma pasta para arquivos temporários e o registra no registro sob a chave BootExecute, para que as instruções de pagamento sejam exibidas na próxima vez que o computador for reiniciado. Dependendo dos parâmetros dos sistemas, esta mensagem pode não ser mostrada. No entanto, após todos os arquivos serem criptografados, o computador será reiniciado automaticamente.

imagem

Infostealer KPOT


Este Ransomware também vem com o spyware KPOT. Esse infostealer pode roubar cookies e senhas salvas de vários navegadores, além de jogos instalados em um PC (incluindo Steam), mensageiros Jabber e Skype. Suas áreas de interesse também incluem acesso a FTP e VPN. Tendo feito seu trabalho e roubado tudo o que é possível, o espião se remove com o seguinte comando:

cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe

Já não apenas o Ransomware


Esse ataque, mais uma vez ligado ao tema da pandemia de coronavírus, prova mais uma vez que o ransomware moderno busca não apenas criptografar seus arquivos. Nesse caso, a vítima corre o risco de roubar senhas para diferentes sites e portais. Grupos cibercriminosos altamente organizados, como Maze e DoppelPaymer, já dominam o uso de dados pessoais roubados para chantagear os usuários, se eles não quiserem pagar pela recuperação de arquivos. De fato, de repente eles não são tão importantes ou o usuário possui um sistema de backup que não sucumbe ao ataque do Ransomware.

Apesar de sua simplicidade, o novo CoronaVirus demonstra claramente que os cibercriminosos buscam aumentar sua renda e buscam meios adicionais de monetização. A estratégia em si não é nova - há vários anos os analistas da Acronis observam ataques de criptografadores, que também plantam cavalos de Troia financeiros no computador da vítima. Além disso, em condições modernas, um ataque de criptografia geralmente pode ser uma distração para desviar a atenção do objetivo principal dos invasores - vazamento de dados.

De uma forma ou de outra, a proteção contra essas ameaças só pode ser alcançada usando uma abordagem integrada à defesa cibernética. E os sistemas de segurança modernos bloqueiam facilmente essas ameaças (que são componentes) mesmo antes de iniciar o trabalho devido a algoritmos heurísticos que usam tecnologias de aprendizado de máquina. No caso de integração com o sistema de backup / recuperação de desastres, os primeiros arquivos danificados serão restaurados imediatamente.

imagem

Para os interessados, o hash dos arquivos IoC:

CoronaVirus Ransomware
: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb7aaaaaaaaaaaa

More articles:


All Articles