Coronavirus-haittaohjelma hyödyntää maailmanlaajuisia COVID-19-pelkoja saastuttaa laitteita ja varastaa tietoja

Dublin, Irlanti, 20. maaliskuuta 2020 - Kun Coronavirus jatkaa nopeata leviämistä, Internetin käyttäjät pelkäävät joutuvansa kosketukseen viruksen kanssa ja haluavat lisätietoja coronaviruksen puhkeamisesta. Tietoverkkorikolliset hyödyntävät koronavirus (COVID-19) -pandemiaa ja uhraavat haavoittuvien ihmisten pelkoja levittää haittaohjelmia. Useat tietoverkkohyökkäykset ja haittaohjelmakannat, joiden aiheena oli COVID-19, ovat levinneet maailman eri osiin viime päivinä.

Pitkälle edenneen jatkuvan uhan (APT) uskotaan olevan maaliskuun 2020 kohdennetun hyökkäyksen takana, nimeltään Vicious Panda, joka levitti myös koronaviruksen haittaohjelmia. 'Vicious Panda' -hyökkäyksessä käytettiin Mongolian hallituksen laitoksille kohdistettuja tietojenkalasteluviestejä. Sähköpostien mukana oli RTF-liitetiedosto, joka väitti sisältävän tärkeätä tietoa koronaviruksesta. Haitallisten RTF-liitteiden sisältämä hyötykuorma oli versio RoyalRoad-haittaohjelmistotyökalusta. Työkalu, joka liittyy usein kiinalaisiin uhkatoimijoihin, käyttää yhtälöeditorien haavoittuvuuksia MS Wordissa.

Coronavirus-haittaohjelmat saivat paljon erilaisia muotoja lyhyessä ajassa. Maaliskuun puolivälissä 2020 ilmestyi luonnossa uusi ransomware-kanta, nimeltään CoronaVi2020. Pääasiassa roskapostien ja haitallisten liitteiden kautta levitetty CoronaVi2020-lunastusohjelma vaatii suhteellisen vaatimattoman 0,008 BTC: n (noin 50 USD) lunastusta ja näyttää kohdistuvan säännöllisiin kodinkäyttäjiin yritysten ja julkisten laitosten sijaan. Ransomware vaikuttaa yleisimpiin tiedostotyyppeihin, mukaan lukien kuvat, tietokannat ja toimistotiedostot, ja ransomware liittää kirjoittajan sähköpostiviestin - coronaVi2022 [at] protonmail [dot] ch - vaikutusalaan kuuluvien tiedostojen eteen.

Koronavirus ransomware myös täplikäs kytköksissä info-Stealer troijalainen Kpot. Haittaohjelma-alue jakoi suoritettavaa nimeltä WSHSetup.exe, joka oli käytännössä paketti, joka kantoi sekä koronaviruksen ransomware- että Kpot-troijalaisia. Kpot voi raaputtaa tilitietoja useilta selaimilta, sähköpostitileiltä, salaustekniikan valuutan lompakoilta ja pelien jakeluasiakkailta.

CoronaVi2022-lunastusohjelman ohella puhelimiin iski haittaohjelma, joka piti koronaviruksen jäljittäjänä. Mobiilihaittaohjelmat toimivat enemmän tai vähemmän kuin lunastusohjelmat, lukitsevat puhelimen ja pyysivät 250 dollaria lunnaita. Onneksi mobiili ransomware oli kiireinen työ huolimatta sen uhkaavista viesteistä. Turvallisuustutkijat pystyivät löytämään koodatun yleisavaimen itse kaapista. Jokainen, joka sai mobiili koronavirusseurannan lunastusohjelman, voi avata puhelimen lukituksen koodilla '4865083501'. Löytön teki DomainTools-tietoturvatutkimusryhmä.

Koronavirushaittaohjelmien äkillinen piikki teki myös eräät vanhemmat uhat jälleen ajankohtaisiksi. Info-Stealer AZORult joka debytoi vuonna 2016 otsikoihin jälleen, kun sitä käytettiin fake verkossa COVID-19-infektion ja kuolleisuuden seuranta kartalla. Oikeaa karttaa ylläpitää Johns Hopkins -yliopiston tiede- ja tekniikkakeskus, ja sitä ylläpidetään täysin eri verkkotunnuksella. Väärennettyä karttaa ylläpitävä haitallinen sivusto kopioi visuaalisen tyylinsä täydellisesti, mutta jakoi myös hyötykuorman, nimeltään 'corona.exe', joka sisältää AZORultin ja raaputtaa uhrijärjestelmiä muun muassa salausvaluutan lompakkoihin ja Steam-tileihin. Verkkotunnus, joka isännöi haitallista online-karttaa, on poistettu.

Paras tapa, jolla kotikäyttäjät voivat pysyä turvassa ja suojata järjestelmiään koronavirushaittaohjelmilta, on ladata tiedostoja vain luotettavilta sivustoilta, älä koskaan napsauta ei-toivottuja linkkejä ja tarkista selaimen osoiterivillä vielä kerran, onko URL kirjoitettu oikein ja osoittaa siihen mitä he odottavat.

Kun reaalimaailman COVID-19-tapaukset alkavat kasvaa eksponentiaalisesti monissa uusissa maissa, tietokoneiden käyttäjien odotetaan hakkereiden jatkavan tämän maailmanlaajuisen terveyskriisin hyödyntämistä.

Tietoja EnigmaSoft Limitedistä

EnigmaSoft Limited on yksityisomistuksessa oleva irlantilainen yritys, jolla on toimistot ja pääkonttori Dublinissa, Irlannissa. EnigmaSoft tunnetaan parhaiten haittaohjelmien torjuntaohjelman SpyHunter kehittämisessä ja jakelussa. SpyHunter havaitsee ja poistaa haittaohjelmat, parantaa Internetin yksityisyyttä ja eliminoi tietoturvauhat - käsittelemällä muun muassa haittaohjelmia, lunastusohjelmia, troijalaisia, roistoja vakoiluohjelmia ja muita haittaohjelmia, jotka vaikuttavat miljooniin tietokoneen käyttäjiin verkossa.