Το κακόβουλο λογισμικό Coronavirus εκμεταλλεύεται τους παγκόσμιους COVID-19 φόβους για να μολύνει τις συσκευές και τα δεδομένα κλοπής

Δουβλίνο, Ιρλανδία, 20 Μαρτίου 2020 - Καθώς ο Coronavirus συνεχίζει την ταχεία εξάπλωσή του, οι χρήστες του Διαδικτύου φοβούνται να έρθουν σε επαφή με τον ιό και ανυπομονούν για περισσότερες πληροφορίες σχετικά με την έκρηξη του coronavirus. Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται την πανδημία του coronavirus (COVID-19) και ανησυχούν για τους φόβους των ευάλωτων ανθρώπων να διαδώσουν κακόβουλα προγράμματα. Ορισμένες επιθέσεις στον κυβερνοχώρο και τα στελέχη κακόβουλου λογισμικού που έχουν προβληθεί μετά το COVID-19 έχουν σαρωθεί σε διάφορα μέρη του κόσμου τις τελευταίες ημέρες.

Μία προχωρημένη επίμονη απειλή (APT) πιστεύεται ότι βρίσκεται πίσω από την επιτόπια επίθεση του Μαρτίου του 2020 που ονομάζεται «Vicious Panda», η οποία επίσης εξαπλώθηκε κακόβουλο λογισμικό από κορωνάρι. Η επίθεση "Vicious Panda" χρησιμοποίησε ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) με στόχο τα κρατικά όργανα της Μογγολίας. Τα μηνύματα ηλεκτρονικού ταχυδρομείου ήρθαν με συνημμένα αρχείων RTF που φέρεται ότι περιείχαν σημαντικές πληροφορίες σχετικά με το coronavirus. Το ωφέλιμο φορτίο που περιέχεται στα κακόβουλα συνημμένα RTF ήταν μια έκδοση του εργαλείου malware του RoyalRoad. Συχνά συνδέεται με κινεζικούς παράγοντες απειλής, το εργαλείο χρησιμοποιεί τις ευπάθειες επεξεργαστή εξισώσεων στο MS Word.

Το κακόβουλο πρόγραμμα Coronavirus πήρε πολλές διαφορετικές μορφές σε σύντομο χρονικό διάστημα. Στα μέσα Μαρτίου του 2020, ένα νέο στέλεχος ransomware εμφανίστηκε στο φυσικό περιβάλλον, με το όνομα CoronaVi2020. Διανεμημένο κυρίως μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας και κακόβουλων συνημμένων, το CoronaVi2020 ransomware ζητά ένα σχετικά μέτριο 0,008 BTC (περίπου 50 δολάρια) λύτρα και φαίνεται να στοχεύει τους τακτικούς οικιακούς χρήστες αντί εταιρειών και κυβερνητικών ιδρυμάτων. Το ransomware επηρεάζει τους πιο συνηθισμένους τύπους αρχείων, συμπεριλαμβανομένων εικόνων, βάσεων δεδομένων και αρχείων γραφείου, με το ransomware να επισυνάπτει το email του συγγραφέα του - coronaVi2022 [at] protonmail [dot] ch - μπροστά από τα αρχεία που έχουν προσβληθεί.

Τα ransomware Coronavirus εντοπίστηκαν επίσης μαζί με το trojan info-stealer Kpot. Ένας κακόβουλος ιστότοπος διανείμει ένα εκτελέσιμο με το όνομα WSHSetup.exe το οποίο αποτελούσε ουσιαστικά ένα πακέτο που μεταφέρει τόσο το ρανσωβόρο του coronavirus όσο και τον Trojan Kpot. Το Kpot μπορεί να διαστρέψει πληροφορίες λογαριασμού από έναν αριθμό περιηγητών ιστού, λογαριασμούς ηλεκτρονικού ταχυδρομείου, πορτοφόλια κρυπτογράφησης και προγράμματα διανομής παιχνιδιών.

Μαζί με την επιφάνεια εργασίας CoronaVi2022 ransomware, τα τηλέφωνα επλήγησαν από μια κακόβουλη εφαρμογή που παρουσιάζει ως ιχνηλάτης κορωνών. Το κακόβουλο λογισμικό για κινητά ενήργησε περισσότερο ή λιγότερο σαν ransomware, κλειδώνει το τηλέφωνο και ζητά $ 250 σε λύτρα. Ευτυχώς, το κινητό ransomware ήταν μια βιαστική δουλειά, παρά τα πολύ απειλητικά μηνύματά του προς το θύμα. Οι ερευνητές της ασφάλειας κατάφεραν να βρουν ένα σκληρό κώδικα καθολικού κλειδιού στο ίδιο το ντουλάπι. Όποιος έχει λάβει το κινητό ραντάρ παρακολούθησης κοροναϊού μπορεί να ξεκλειδώσει το τηλέφωνό του χρησιμοποιώντας τον κωδικό '4865083501'. Η ανακάλυψη έγινε από την ερευνητική ομάδα ασφαλείας DomainTools.

Η ξαφνική άνοδος του κακόβουλου λογισμικού από το coronavirus έκανε και πάλι μερικές παλαιότερες απειλές. Ο πληροφοριοδόμος AZORult που έκανε το ντεμπούτο του το 2016 έκανε τους τίτλους και πάλι, αφού χρησιμοποιήθηκε σε ένα ψεύτικο ηλεκτρονικό COVID-19 για τη μόλυνση και τον εντοπισμό της θνησιμότητας. Ο πραγματικός χάρτης διατηρείται από το κέντρο επιστήμης και μηχανικής του Πανεπιστημίου Johns Hopkins και φιλοξενείται σε έναν εντελώς διαφορετικό τομέα. Ο κακόβουλος ιστότοπος που φιλοξενεί το ψεύτικο χάρτη αντιγράφει τέλεια το οπτικό του στυλ, αλλά επίσης διανέμει ένα ωφέλιμο φορτίο που ονομάζεται «corona.exe» που περιέχει AZORult και θραύσματα συστήματα θύματος για πορτοφόλια κρυπτογράφησης και λογαριασμούς Steam, μεταξύ άλλων. Ο τομέας που φιλοξένησε τον κακόβουλο ηλεκτρονικό χάρτη έχει καταργηθεί.

Οι καλύτεροι τρόποι με τους οποίους οι οικιακοί χρήστες μπορούν να παραμείνουν ασφαλείς και να προστατεύσουν τα συστήματά τους από το κακόβουλο λογισμικό του coronavirus είναι να κατεβάζουν μόνο αρχεία από αξιόπιστους ιστότοπους, ποτέ να κάνουν κλικ σε ανεπιθύμητους συνδέσμους και να ελέγχουν διπλά τη γραμμή διευθύνσεων του προγράμματος περιήγησής τους, σε αυτό που περιμένουν.

Με τις περιπτώσεις COVID-19 πραγματικού κόσμου που αρχίζουν να αναπτύσσονται εκθετικά σε πολλές νέες χώρες, οι χρήστες υπολογιστών θα πρέπει να περιμένουν από τους χάκερ να συνεχίσουν να επωφελούνται από αυτή την παγκόσμια κρίση της υγείας.

Σχετικά με την EnigmaSoft Limited

Η EnigmaSoft Limited είναι μια ιδιωτική ιρλανδική εταιρεία με γραφεία και παγκόσμια έδρα στο Δουβλίνο της Ιρλανδίας. Το EnigmaSoft είναι γνωστό για την ανάπτυξη και τη διανομή του SpyHunter , ενός προϊόντος και υπηρεσιών λογισμικού κατά του κακόβουλου λογισμικού. Το SpyHunter ανιχνεύει και αφαιρεί κακόβουλο λογισμικό, βελτιώνει το ιδιωτικό απόρρητο του Διαδικτύου και εξαλείφει τις απειλές για την ασφάλεια - αντιμετωπίζοντας ζητήματα όπως το κακόβουλο λογισμικό, τα ransomware, τα trojans, τα παρωχημένα anti-spyware και άλλες κακόβουλες απειλές ασφάλειας που πλήττουν εκατομμύρια χρήστες PC στο διαδίκτυο.