‘Coronavirus Maps’ – sau cum hackerii profita de o pandemie
Hackerii au gasit o oportunitate cel putin eficienta de a profita de neatentia si agitatia utilizatorului, cauzata de raspandirea COVID-19 in aceasta perioada.
Reason Cybersecurity a lansat un raport de analiza a amenintarilor, in care este prezentat un nou atac care profita de foamea utilizatorului flamand de informatii luate din surse … mai mult sau mai putin credibile.
Atacul malware are ca tinta acei utilizatori ce cauta informatii sau prezentari cartografice ale raspandirii virusului COVID-19 si ii inseala sa descarce si sa ruleze o aplicatie malitioasa, care prezinta o harta dintr-o sursa online legitima (front-end), dar care compromite computerul (back-end).
O noua amenintare cu o componenta malware veche
Asemanator virusului SARS-COV-II (coronavirus), are la baza un malware cunoscut de mai mult timp. AZORult – a fost descoperit in 2016 ca fiind un software malitios care fura informatii. Acest malware colecteaza informatii stocate in browserele web, in special cookie-uri, istoric de navigare, id-uri de utilizator, parole, chiar si chei pentru cryptocurrency. Cu aceste date extrase din browserele utilizatorilor, este posibil ca hackerii sa fure numere de carduri de credit, date de autentificare si alte informatii sensibile. Se presupune ca AZORult, care este adus in discutie pe forumuri „underground” rusesti, este un instrument pentru colectarea datelor sensibile de pe PC-uri. Este livrat cu o varianta capabila sa genereze un cont de administrator ascuns in PC-urile infectate, pentru a activa conexiunile prin intermediul protocolului „asistenta la distanta” (RDP).
Sample Analysis
Alfasi ofera detalii tehnice dupa o analiza a programului malware, care este incorporat intr-un fisier, de obicei numit Corona-virus-Map.com.exe. Este un fisier executabil mic, cu o dimensiune aproximativa de doar 3.26 MB.
Dupa rularea acestui fisier, se deschide o fereastra care arata diverse informatii despre raspandirea COVID-19. Prezinta o interfata grafica foarte convingatoare, pe care putini ar considera-o daunatoare. Partea centrala este o harta a infectiilor, similara cu cea oferita de Universitatea Johns Hopkins, o sursa online legitima (cu placere!), pentru vizualizarea si urmarirea cazurilor de coronavirus raportate in timp real. Un numar de cazuri confirmate pe partea stanga, in timp ce statisticile privind decesele si recuperarile sunt pe partea dreapta. Aceste informatii nu reprezinta niciun fel de amalgamare de date random, ci sunt informatii reale legate de COVID-19, adunate de pe site-ul Johns Hopkins.
Pentru a evita orice fel de confuzie; harta originala a coronavirusului, gazduita online de Universitatea Johns Hopkins sau ArcGIS, nu este infectata sau intarziata in niciun fel si este sigura de vizitat!
Software-ul utilizeaza cateva straturi de ambalare impreuna cu o tehnica multi-sub-proces, care face dificila detectarea si analizarea. In plus, foloseste un programator de task-uri, astfel incat sa poata functiona tot timpul.
Semne de infectie
Dupa rularea Corona-virus-Map.com.exe, rezultatul este crearea de duplicate a fisierului Corona-virus-Map.com.exe si a mai multor Corona.exe, Bin.exe, Build.exe si Windows.Globalization.Fontgroups.exe. In plus, programul malitios modifica o serie de registre sub ZoneMap si LanguageList.
Rularea programului malware activeaza urmatoarele procese: Bin.exe, Windows.Globalization.Fontgroups.exe si Corona-virus-Map.com.exe. Acestea incearca conectarea la multe URL-uri. Aceste procese si adrese sunt doar o mostra a ceea ce implica atacul. Exista multe alte fisiere generate si procese initiate. Acestea creeaza diverse activitati de comunicare in retea, in timp ce malware-ul incearca sa adune diferite tipuri de informatii.
Curatarea si prevenirea
Asemenea COVID-19, recomandarea este imunizarea sistemului la un nivel cat mai ridicat posibil. In cazul de fata, vitamina C este inlocuita cu un sistem adecvat de protectie impotriva malware (si neaparat ACTUALIZAT). Detectia manuala a virusului va fi dificila; cu atat mai mult inlaturarea fara un software adecvat.
Pandemia cauzata de COVID-19 merita o mare precautie nu numai offline (pentru a evita contactarea bolii), ci si online. Hackerii exploateaza popularitatea resurselor legate de coronavirus pe internet si probabil, multi vor cadea prada atacurilor. Pentru protectia online, te putem ajuta, vezi aici toate solutiile oferite pentru „Work from home”.
