A Coronavirus Malware kihasználja a globális COVID-19 félelmet az eszközök megfertőzésére és az adatok ellopására

Dublin, Írország, 2020. március 20. - Ahogy a Coronavirus folytatja gyors terjedését, az internethasználók félnek a vírussal való érintkezéstől, és attól tartanak, hogy további információt szerezzenek a coronavírus kitöréséről. A számítógépes bűnözők kihasználják a koronavírus (COVID-19) világjárványt, és a veszélyeztetett emberek félelmeit áldozzák fel a rosszindulatú programok elterjesztése érdekében. A COVID-19 utáni témájú számos számítógépes támadás és rosszindulatú program törzse a világ különböző részein terjedt el az elmúlt napokban.

Úgy gondolják, hogy az előrehaladott tartós fenyegetés (APT) a 2020. márciusi „Vicious Panda" elnevezésű célzott támadás mögött állt, amely szintén terjesztette a koronavírus malware-t. A „Vicious Panda" támadás adathalász e-maileket használt a mongol kormányzati intézményekkel szemben. Az e-mailekhez RTF-fájlok csatoltak, amelyek állítólag fontos információkat tartalmaztak a koronavírusról. A rosszindulatú RTF mellékletekben található hasznos teher a RoyalRoad malware eszköz verziója volt. Az eszköz gyakran a kínai fenyegető szereplőkhöz kapcsolódik, és az egyenlet-szerkesztő biztonsági réseit használja ki az MS Word alkalmazásában.

A koronavírus malware rövid idő alatt sokféle formát öltött. 2020. március közepén a CornsVi2020 elnevezésű új ransomware törzs jelent meg a vadonban. Elsősorban spam e-mailek és rosszindulatú mellékletek útján terjesztve a CoronaVi2020 ransomware viszonylag szerény 0,008 BTC (kb. 50 USD) váltságdíjat igényel, és úgy tűnik, hogy a rendszeres otthoni felhasználókat célozza meg vállalatok és kormányzati intézmények helyett. A ransomware a leggyakoribb fájltípusokat érinti, beleértve a képeket, az adatbázisokat és az irodai fájlokat, és a ransomware csatolja a szerző e-mailjét - coronaVi2022 [at] protonmail [dot] ch - az érintett fájlok elé.

A Coronavirus ransomware- t szintén észrevették az infó-lopó trójai Kpot-tal együtt. Egy rosszindulatú webhely egy WSHSetup.exe nevű végrehajtható fájlt terjesztett, amely valójában egy csomag volt, amely mind a koronavírus ransomware-t, mind a Kpot-trójai szoftvert hordozta. A Kpot számos web böngészőből, e-mail fiókból, kriptovaluta pénztárcából és játék-elosztó ügyfélből lekaparhatja a fiókadatokat.

A CoronaVi2022 asztali ransomware mellett a telefonokat egy rosszindulatú alkalmazás is sújtotta, amely koronavírus-követőként jelenik meg. A mobil rosszindulatú programok többé-kevésbé viselkedtek úgy, mint a váltságdíjas szoftverek, reteszelték a telefont, és 250 dollárt kértek váltságdíjért. Szerencsére a mobil ransomware rohanó feladat volt, annak ellenére, hogy nagyon fenyegető üzeneteket küldtek az áldozatnak. A biztonsági kutatók megtalálhattak egy merev kódú univerzális kulcsot a szekrényben. Bárki, aki megkapta a mobil koronavírus tracker ransomware szoftvert, feloldhatja telefonját a '4865083501' kóddal. A felfedezést a DomainTools biztonsági kutatócsoport végezte.

A koronavírus malware hirtelen növekedése ismét aktualizálta néhány régebbi fenyegetést. Az 2016-ban debütáló AZORult információs lopó újra elkészítette a címsort, miután egy hamis online COVID-19 fertőzési és mortalitási nyomkövető térképen felhasználták. Az igazi térképet a Johns Hopkins Egyetem tudományos és mérnöki központja tartja fenn, és egy teljesen más domainben üzemelteti. A hamis térképet tároló rosszindulatú weboldal tökéletesen másolta a vizuális stílusát, de elosztotta a „corona.exe" nevű hasznos teherbírást is, amely az AZORult-t tartalmazza, és többek között a kriptovaluta pénztárcák és a Steam-fiókok áldozatainak rendszereit is lekaparja. A rosszindulatú online térképet tároló domain le lett vonva.

A legjobb módja annak, hogy az otthoni felhasználók biztonságban maradjanak, és megvédjék rendszereiket a koronavírus malwarektől, ha csak fájlokat töltnek le megbízható webhelyekről, soha ne kattintson a kéretlen linkekre, és ellenőrizzék még egyszer böngészőjük címsorát, hogy megtudják, az URL helyesen van-e megírva amire számítanak.

Mivel a valós COVID-19 esetek exponenciálisan növekednek számos új országban, a számítógép-felhasználóknak arra számítanak, hogy a hackerek továbbra is kihasználják ezt a globális egészségügyi válságot.

Az EnigmaSoft Limited-ről

Az EnigmaSoft Limited egy magántulajdonban lévő ír cég, amelynek irodái és globális székhelye Dublinban, Írországban található. Az EnigmaSoft legismertebben a SpyHunter, egy rosszindulatú programok elleni szoftver termék és szolgáltatás fejlesztéséről és terjesztéséről ismert. A SpyHunter felismeri és eltávolítja a rosszindulatú programokat, fokozza az internetes adatvédelmet, és kiküszöböli a biztonsági fenyegetéseket - olyan kérdésekkel foglalkozik, mint például a rosszindulatú programok, a ransomware, a trójaiak, a gazember anti-spyware és más rosszindulatú biztonsági fenyegetések, amelyek az internetes PC-felhasználók millióit érintik.