惡意軟件偽裝成冠狀病毒地圖,感染PC竊取密碼
這次巨大生命威脅的災難中,我們只記得COVID-19的SARS-COV-II病毒的災難性傳播,與此同時,他們傳播惡意軟件或發起網絡攻擊的機會。網絡罪犯將不遺余力地利用一切機會掠奪互聯網用戶。
Reason Cybersecurity最近發布了一份威脅分析報告,其中詳細介紹了一種新攻擊,該攻擊利用了互聯網用戶對全球肆虐肆虐新型冠狀病毒信息的恐懼、焦急心理進行傳播。當你打開這些有關冠狀病毒的網頁以及APP時,你就被攻陷了。
????
該惡意軟件攻擊專門針對那些正在尋找COVID-19傳播的地圖的人,與此同時,黑客會通過誘使他們下載并運行一個惡意應用程序來達到目的,該應用程序的前端顯示從合法站點加載的地圖。你認為它是無害的,但在后臺會危害計算機。
具有舊惡意軟件組件的新威脅
直到3月初,安全團隊才發現這個從不知情的受害者那里竊取信息的可怕威脅,如今,Reason Labs的網絡安全研究員Shai Alfasi已對其進行了深入的研究。
利用從APP后臺以及被操控后臺的網頁的數據,網絡犯罪分子就有可能竊取信用卡號,登錄憑據以及各種其他敏感信息。
最根溯源,這個電腦病毒的根源在下:它涉及一個在2016年被發現的被標識為AZORult的惡意軟件。AZORult惡意軟件的作用是收集存儲在Web瀏覽器中的信息,特別是cookie,瀏覽歷史記錄,用戶ID,密碼,甚至是加密貨幣密鑰。
據報道,在俄羅斯地下網絡論壇討論了AZORult,很多人發現它是一種從計算機收集敏感數據的工具演變過來的變種。它帶有一個變體,能夠在受感染的計算機中生成一個隱藏的管理員帳戶,以通過遠程桌面協議(RDP)啟用連接。
樣本分析
Alfasi提供了有關研究惡意軟件的技術細節,該惡意軟件通過嵌入在文件不被發覺,一般它的命名為Corona-virus-Map.com.exe。這是一個小的Win32 EXE文件,有效負載大小僅為3.26 MB左右。
雙擊文件將打開該病毒地圖軟件,窗口會顯示有關冠狀病毒傳播的各種信息。這個病毒軟件利用是約翰·霍普金斯大學(Johns Hopkins University)的“感染地圖”,人家原本是一個合法的在線資源,為的是實時可視化、跟蹤報告冠狀病毒。
被感染的病毒地圖軟件顯示了不同國家的確診病例數,右側是死亡和康復統計數據。窗口似乎是交互式的,帶有用于其他各種相關信息的選項卡以及到源的鏈接。
??
??
這個被病毒軟件走了后門的軟件提供了令人信服的數據和畫面,說實話沒有多少人會懷疑這是有害的。實際上他們所提供的信息是從Johns Hopkins網站轉過來的COVID-19信息。
需要指出的是,約翰霍普金斯大學開發的原始冠狀病毒地圖沒有任何感染或后門之處,可以安全地訪問。
該惡意軟件則是利用了一些打包層,并注入了多子過程技術,這給研究人員檢測和分析帶來了挑戰。此外,它采用了任務計劃程序,因此可以繼續運行。
感染跡象
執行Corona-virus-Map.com.exe會導致創建Corona-virus-Map.com.exe文件和多個Corona.exe,Bin.exe,Build.exe和Windows.Globalization.Fontgroups的重復項。
令人震驚的是,該惡意軟件還會修改區域地圖和語言列表下的少數寄存器。與此同時還創建了多個互斥鎖。
惡意軟件的執行將激活以下過程:Bin.exe,Windows.Globalization.Fontgroups.exe和Corona-virus-Map.com.exe。這些嘗試連接到多個URL。
這些進程和URL注入攻擊所造成的后果我們可以預見的一個結果是,這個進程會生成了許多其他文件,最后啟動進程。當惡意軟件試圖收集各種信息時,它們會創建各種網絡通信活動。
如何竊取信息
如何解析該病毒的詳細過程被展示在Alfasi在Reason Security的博客文章。一個重要的細節是他對Ollydbg中名字后綴為Bin應用程序進行的分析。因此,該過程編寫了一些動態鏈接庫(DLL)。DLL“ nss3.dll”引起了他的注意。
Alfasi觀察到與nss3.dll相關的API的靜態加載。這些API似乎有助于解密已保存的密碼以及生成輸出數據。
這是數據竊賊常用的方法。它僅從受感染的Web瀏覽器捕獲登錄數據,并將其移至C:\ Windows \ Temp文件夾。這是AZORult攻擊的標志之一,其中,惡意軟件提取數據,生成受感染計算機的唯一ID,應用XOR加密,然后啟動C2通信。
該惡意軟件會撥打特定電話,以試圖從常見的在線帳戶例如Telegram和Steam中竊取登錄數據。
要強調的是,惡意軟件執行是其繼續進行信息竊取過程所需的唯一步驟。受害者要注意的是無需與窗口互動,或在其中輸入個人敏感信息。
如何預防
自從該漏洞在3月9日公開以來,其他安全公司也了解到了這種威脅。因此,3月9日之后他們的防病毒軟件或軟件保護程序將在發布時進行更新。
它們可能具有類似的檢測和預防新威脅的能力。
刪除和阻止被感染惡意軟件的“冠狀病毒圖”的重中之重是擁有正確的惡意軟件保護系統。手動檢測將具有挑戰性,更不用說沒有正確的軟件工具就可以清除感染。
說到底:從互聯網上下載和運行文件時,謹慎行事真的很重要,不要因為疫情心慌就點開一些不知名的文件或者網頁進行下載內容,因為當今許多人都急于訪問有關新型冠狀病毒的信息。
COVID-19大流行水平分散不僅握住了人們緊張恐慌的心理,而且在在線時人們也需要格外小心利用它的居心叵測的人。網絡攻擊者正在利用Web上與冠狀病毒相關的資源的普及,許多普通人都可能會成為攻擊的犧牲品。
