Koronavīrusa ļaunprātīgā programmatūra izmanto globālās COVID-19 bailes inficēt ierīces un nozagt datus

Dublina, Īrija, 2020. gada 20. marts. Tā kā koronavīruss turpina strauji izplatīties, interneta lietotāji baidās saskarties ar vīrusu un vēlas iegūt plašāku informāciju par koronavīrusa uzliesmojumu. Kibernoziedznieki izmanto koronavīrusa (COVID-19) pandēmijas priekšrocības un aizbildinās ar neaizsargātu cilvēku bailēm izplatīt ļaunprātīgu programmatūru. Pēdējās dienās dažādās pasaules daļās ir izplatījušies vairāki kiberuzbrukumi un ļaunprātīgas programmatūras celmi pēc COVID-19.

Tiek uzskatīts, ka progresīvs pastāvīgs drauds (APT) ir aiz 2020. gada marta mērķtiecīgā uzbrukuma ar nosaukumu "Vicious Panda", kurš arī izplatīja koronavīrusa ļaunprātīgu programmatūru. Uzbrukumā "Vicious Panda" tika izmantoti pikšķerēšanas e-pasti, kas bija adresēti Mongolijas valdības iestādēm. E-pasti tika piegādāti ar RTF failu pielikumiem, kas, iespējams, saturēja svarīgu informāciju par koronavīrusu. Ļaunprātīgajos RTF pielikumos esošā krava bija RoyalRoad ļaunprātīgas programmatūras rīka versija. Šis rīks, kas bieži tiek saistīts ar ķīniešu draudu dalībniekiem, izmanto vienādojumu redaktora ievainojamības MS Word.

Koronavīrusa ļaundabīgā programmatūra īsā laika posmā ieguva daudz dažādu formu. 2020. gada marta vidū savvaļā parādījās jauns ransomware celms ar nosaukumu CoronaVi2020. Izplatīts galvenokārt ar surogātpastu un ļaunprātīgu pielikumu palīdzību, CoronaVi2020 izpirkuma programmatūra prasa samērā pieticīgu 0.008 BTC (aptuveni 50 USD) izpirkuma maksu un, šķiet, tā mērķauditorija ir regulāri mājas lietotāji, nevis korporācijas un valdības iestādes. Izpirkšanas programmatūra ietekmē izplatītākos failu tipus, ieskaitot attēlus, datu bāzes un biroja failus, un izpirkšanas programmatūra skarto failu priekšā pievieno tā autora e-pastu - coronaVi2022 [at] protonmail [dot] ch.

Arī Coronavirus izpirkuma programmatūra tika komplektēta ar informācijas stealer Trojas zirgu Kpot. Ļaunprātīga vietne izplatīja izpildāmu nosaukumu WSHSetup.exe, kas faktiski bija saišķis, kurā bija gan koronavīrusa izpirkuma programmatūra, gan Kpot Trojan. Kpot var nokasīt konta informāciju no vairākiem tīmekļa pārlūkiem, e-pasta kontiem, kriptovalūtas makiem un spēļu izplatīšanas klientiem.

Kopā ar galddatoru CoronaVi2022 ransomware tālruņiem piemeklēja ļaunprātīga lietotne, kas bija koronavīrusu izsekotājs. Mobilā ļaundabīgā programmatūra rīkojās vairāk vai mazāk kā izpirkuma programmatūra, bloķējot tālruni un prasot izpirkuma naudu 250 ASV dolāru apmērā. Par laimi mobilā izpirkuma programmatūra bija steidzams darbs, neskatoties uz ļoti draudīgajiem ziņojumiem upurim. Drošības pētnieki spēja pašā skapītī atrast grūti kodētu universālo atslēgu. Ikviens, kurš ieguva mobilā koronavīrusa izsekotāja renesomware, var atbloķēt savu tālruni, izmantojot kodu '4865083501'. Atklājumu veica DomainTools drošības pētījumu grupa.

Pēkšņais koronavīrusa ļaunprātīgās programmatūras pieaugums atkal padarīja aktuālu arī dažus vecākus draudus. Informācijas zaglis AZORult, kas debitēja 2016. gadā, atkal padarīja virsrakstus pēc tam, kad tas tika izmantots viltotā tiešsaistes COVID-19 infekcijas un mirstības izsekošanas kartē. Īsto karti uztur Džona Hopkinsa universitātes zinātnes un inženierzinātņu centrs, un tā tiek mitināta pavisam citā domēnā. Ļaunprātīgā vietne, kurā atrodas viltota karte, perfekti kopēja savu vizuālo stilu, bet cita starpā izplatīja arī kravas kravu ar nosaukumu "corona.exe", kas satur AZORult un cita starpā skrāpē upuru sistēmas kriptovalūtas makiem un Steam kontiem. Domēns, kas mitināja ļaunprātīgu tiešsaistes karti, ir noņemts.

Labākais veids, kā mājas lietotāji var būt drošībā un pasargāt savas sistēmas no koronavīrusu ļaunprātīgas programmatūras, ir lejupielādēt failus tikai no uzticamām vietnēm, nekad neklikšķināt uz nepieprasītām saitēm un vēlreiz pārbaudīt sava pārlūka adreses joslu, lai redzētu, vai URL ir uzrakstīts pareizi un norāda uz to, ko viņi sagaida.

Tā kā reālās pasaules COVID-19 gadījumi sāk eksponenciāli augt daudzās jaunās valstīs, datoru lietotājiem jārēķinās, ka hakeri turpinās izmantot šo globālo veselības krīzi.

Par EnigmaSoft Limited

EnigmaSoft Limited ir privāts Īrijas uzņēmums, kura biroji un galvenā mītne atrodas Dublinā, Īrijā. EnigmaSoft ir vislabāk pazīstams ar SpyHunter, anti-ļaundabīgo programmu programmatūras produktu un pakalpojumu izstrādi un izplatīšanu. SpyHunter atklāj un noņem ļaunprātīgu programmatūru, uzlabo interneta privātumu un novērš drošības draudus - pievēršoties tādām problēmām kā ļaunprātīga programmatūra, izpirkuma programmatūra, Trojas zirgi, negodīgi pret spiegprogrammatūru un citi ļaunprātīgi drošības draudi, kas ietekmē miljoniem datoru lietotāju tīmeklī.