ATENTIE! Ferește-te de „Coronavirus Maps” - Este un malware care infectează calculatoarele pentru a fura parolele

Coronavirus hackingBeware of 'Coronavirus Maps' – It's a malware infecting PCs to steal passwords. Cybercriminalii nu se vor opri de la nimic pentru a exploata toate șansele de a prada utilizatorilor de internet.

Chiar și răspândirea dezastruoasă a SARS-COV-II (virusul), care provoacă COVID-19 (boala), devine o oportunitate pentru ei de a răspândi malware sau de a lansa atacuri cibernetice.

Motivul: Cibersecuritatea a lansat recent un raport de analiză a amenințărilor în care este prezentat un nou atac care profită de pofta crescută a utilizatorilor de internet pentru informații despre noul coronavirus care face ravagii la nivel mondial.

Atacul malware își propune să vizeze aceia care caută prezentări cartografice ale răspândirii COVID-19 pe Internet și îi înșală să descarce și să ruleze o aplicație rău intenționată care, în partea frontală, arată o hartă încărcată dintr-o legitima sursa online, dar în fundal compromite computerul.

Nouă amenințare cu o componentă veche de malware

Cea mai recentă amenințare, destinată să fure informații de la victime, a fost descoperită prima dată de MalwareHunterTeam săptămâna trecută și a fost acum analizată de Shai Alfasi, un cercetător în domeniul cibersecurității la Reason Labs.

Acesta implică un malware identificat ca AZORult, un software rău intenționat care fură informații. Descoperit în 2016. Malware-ul AZORult colectează informații stocate în browserele web, în ​​special cookie-uri, istorii de navigare, ID-uri de utilizator, parole și chiar chei de criptocurrency.

Cu aceste date extrase din browsere, este posibil ca infractorii cibernetici să fure mai tarziu numere de carduri de credit, date de autentificare și alte informații sensibile.

AZORult este discutat pe forumurile subterane rusești ("Darknet" - n.r.) ca un instrument pentru colectarea datelor sensibile de pe calculatoare. Este livrat cu o variantă care este capabilă să genereze un cont de administrator ascuns în computerele infectate pentru a activa conexiunile prin intermediul protocolului desktop de la distanță (RDP).

Analiza probelor

Alfasi oferă detalii tehnice la studierea programelor malware, care este încorporat în fișier, numit de obicei Corona-virus-Map.com.exe. Este un fișier EXE mic Win32, cu o dimensiune a sarcinii utile de numai aproximativ 3,26 MB.

Făcând dublu clic pe fișier deschide o fereastră care arată diverse informații despre răspândirea COVID-19. Piesa centrală este o „hartă a infecțiilor” similară cu cea găzduită de Universitatea Johns Hopkins, o sursă online legitimă pentru vizualizarea și urmărirea cazurilor de coronavirus raportate în timp real.

Un număr de cazuri confirmate în diferite țări sunt prezentate pe partea stângă, în timp ce statisticile privind decesele și recuperările sunt pe partea dreaptă. Fereastra pare a fi interactivă, cu file pentru alte informații conexe și link-uri către surse.

Prezintă o GUI convingătoare pe care nu mulți ar suspecta-o să fie dăunătoare. Informațiile prezentate nu reprezintă o amalgamare de date aleatorii, ci sunt informații reale COVID-19 reunite de pe site-ul Johns Hopkins.

De remarcat, harta originală a coronavirusului, găzduită online de Universitatea Johns Hopkins sau ArcGIS, nu este infectată sau întârziată în niciun fel și este sigură de vizitat.

Software-ul rău intenționat utilizează câteva straturi de ambalare împreună cu o tehnică multi-sub-proces infuzată pentru a face dificilă detectarea și analizarea cercetătorilor. În plus, folosește un programator de sarcini, astfel încât să poată continua să funcționeze.

Semne de infecție

Executarea Corona-virus-Map.com.exe are ca rezultat crearea duplicatelor fișierului Corona-virus-Map.com.exe și a mai multor Corona.exe, Bin.exe, Build.exe și Windows.Globalization.Fontgroups. fișiere exe.

În plus, programul malware modifică o serie de registre sub ZoneMap și LanguageList. Sunt create de asemenea mai multe mutexe.

Execuția programelor malware activează următoarele procese: Bin.exe, Windows.Globalization.Fontgroups.exe și Corona-virus-Map.com.exe. Acestea încearcă să se conecteze la mai multe adrese URL.

Aceste procese și adresele URL sunt doar o mostră a ceea ce implică atacul. Există multe alte fișiere generate și procesele inițiate. Acestea creează diverse activități de comunicare în rețea, în timp ce malware încearcă să adune diferite tipuri de informații.

Cum fura datele...atacul

Alfasi a prezentat un raport detaliat despre modul în care a disecat malware-ul într-o postare pe blogul de pe blogul Reason Security. Un detaliu evident este analiza procesului Bin.exe cu Ollydbg. În consecință, procesul a scris câteva biblioteci de legături dinamice (DLL). DLL „nss3.dll” i-a atras atenția, deoarece este un lucru pe care îl cunoștea de la diferiți actori.

Aceasta este o abordare comună folosită de hoții de date. Relativ simplu, captează doar datele de conectare din browserul web infectat și îl mută în folderul C: \ Windows \ Temp. Este unul dintre reperele unui atac AZORult, în care programul malware extrage date, generează un ID unic al computerului infectat, aplică criptarea XOR, apoi inițiază comunicarea C2.

Programul malware face apeluri specifice în încercarea de a fura datele de conectare din conturile online comune, cum ar fi Telegram și Steam.

Pentru a sublinia, execuția malware este singurul pas necesar pentru ca acesta să continue procesele sale de informare. Victimele nu trebuie să interacționeze cu fereastra sau să introducă informații sensibile din ea.

Curățare și prevenire

Poate suna promoțional, dar Alfasi sugerează software-ul Reason Antivirus ca soluție pentru a remedia dispozitivele infectate și a preveni atacurile ulterioare. Până la urmă, este afiliat la Reason Security. Motivul este primul care găsește și examinează această nouă amenințare, astfel încât să o poată trata eficient.

Este posibil ca alte firme de securitate să fi aflat deja despre această amenințare, de când Reason a făcut-o publică pe 9 martie. Antivirusurile sau instrumentele lor de protecție împotriva malware vor fi actualizate începând cu momentul publicării.

Ca atare, aceștia pot fi în mod similar capabili să detecteze și să prevină noua amenințare.

Cheia pentru înlăturarea și oprirea malware-ului oportun „coronavirus” este de a avea un sistem adecvat de protecție împotriva malware. Va fi dificilă detectarea ei manuală și să nu mai eliminăm infecția fără un instrument software adecvat.

Este posibil să nu fie suficient pentru a fi precaut în descărcarea și rularea fișierelor de pe internet, deoarece mulți tind să fie prea atenți în accesarea informațiilor despre noul coronavirus în zilele noastre.

Dispersia la nivel de pandemie a COVID-19 merită o mare precauție nu numai offline (pentru a evita contractarea bolii), ci și online. Atacatorii cibernetici exploatează popularitatea resurselor legate de coronavirus pe web și, probabil, mulți vor cădea pradă atacurilor.

SURSA: https://thehackernews.com/2020/03/coronavirus-maps-covid-19.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29&_m=3n.009a.2183.hl0aof3xcu.1d6u

 

hack map

 

hack map 2