Новые угрозы безопасности, эксплуатирующие тему COVID-19: Ransomware и Infostealer

Поделиться в vk
Поделиться в telegram
Поделиться в whatsapp

В сети множится количество вредоносного софта, эксплуатирующего интерес аудитории к теме коронавируса. Блокировщики, фишинговые сайты, замаскированные под информационные ресурсы, и даже мобильные приложения, которые компрометируют данные пользователей, и иногда устанавливают вредоносное ПО, которое шифрует содержимое на устройстве и требует выкуп за ключи (вирусы-шифровальщики). Дополнительный повод для ажиотажа вокруг подобных сайтов предоставляет политическое руководство государств, которые в сложившейся ситуации объявляют о различных мерах поддержки населения (субсидии, компенсации), но не успевают или не могут предоставить подробной информации о процессе их получения.

 

Злоумышленники поспешили воспользоваться паническими настроениями. Чаще всего атака начинается с рассылки писем якобы от имени различных ведомств, органов соцзащиты, а также банков. В теле письма жертве предлагается оформить выплату/субсидию, для чего необходимо перейти на (фишинговый) сайт и ввести свои личные данные. Также к письму может быть прикреплен файл, содержащий “важную персональную информацию” якобы для получения выплаты, но вместо нее на компьютер жертвы загружается и устанавливается троян.

Coronavirus-2022

Описанная выше схема — наиболее типична для распространения новой угрозы, которая представляет собой “сборку” из весьма рядового шифровальщика с чуть измененным кодом и новым названием — CoronaVirus, а также infostealer — трояна, похищающего личные данные пользователей.

troyan-scrin

После заражения ситуация развивается следующим образом:

  1. исполняемый файл копирует себя в %AppData%\Local\Temp\ и прописывает автозапуск копии в реестре, после чего оригинал удаляется.
  2. Последовательно шифруются файлы во всех доступных папках. в начало зашифрованного имени добавляется coronaVi2022@protonmail.ch_  изменяется и название диска С на “CoronaVirus”.
  3. Как и многие другие, этот шифровальщик пытается удалить имеющиеся бэкапы и точки восстановления, а также отключить теневое копирование файлов.

В каждой папке создается файл, в котором содержатся инструкции по разблокировке и расшифровке файлов.

txt-file

Выкуп относительно невелик — 0,008 Биткойна, за эту сумму злоумышленники обещают выслать программу-дешифровщик и инструкции к ней.

 

Но Ransomware — только часть атаки. Шпионское ПО KPOT, которое “поставляется в комплекте” забирает cookie-файлы и сохраненные пароли из большинства популярных браузеров и игр (включая Steam). Также под угрозой данные для авторизации в Skype, Jabber, в VPN-клиентах и FTP. После сбора и отправки злоумышленникам всей информации шпионское ПО автоматически удаляется.

Профилактика и защита

Большинство современных антивирусных пакетов (с включенной функцией эвристического анализа и отслеживания изменений в файловой системе) могут распознать активность подобных пакетов, даже если “пропустят” первоначальный источник заражения. Однако лучшей мерой противодействия остается профилактика и исключение “социальной инженерии” из списка доступных хакерам методов.

 

Также следует учитывать, что такие крупные группы киберпреступников как Maze и DoppelPaymer давно перешли к практике шантажа жертв на основе украденной личной информации (разумеется, при условии, что жертва отказывается платить). Поэтому, к повышению уровня информационной безопасности, как личной так и корпоративной, нужно подходить очень внимательно. Часто использование одних только антивирусных пакетов оказывается недостаточным, особенно — на фоне постоянного совершенствования методов социальной инженерии со стороны злоумышленников.

Подпишитесь на нашу рассылку

Подпишитесь чтобы не пропустить ни одной статьи от нас!

Поделитесь этим постом с друзьями

Поделиться в odnoklassniki
Поделиться в email
Поделиться в telegram
Поделиться в whatsapp

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

ТОП