Coronavirus Malware maakt gebruik van wereldwijde COVID-19-angsten om apparaten te infecteren en gegevens te stelen

Dublin, Ierland, 20 maart 2020 - Zoals coronavirus zet haar snelle verspreiding, Internet-gebruikers zijn bang in contact te komen met het virus en angstig voor meer informatie over het coronavirus uitbraak. Cybercriminelen profiteren van de pandemie van het coronavirus (COVID-19) en maken gebruik van de angst van kwetsbare mensen om malware te verspreiden. Een aantal cyberaanvallen en soorten malware met als thema COVID-19 zijn de afgelopen dagen over verschillende delen van de wereld verspreid.

Een geavanceerde persistente dreiging (APT) wordt verondersteld achter de gerichte aanval van maart 2020, genaamd 'Vicious Panda', die ook coronavirus-malware verspreidde. De 'Vicious Panda'-aanval gebruikte phishing-e-mails gericht aan Mongoolse overheidsinstellingen. De e-mails werden geleverd met RTF-bestandsbijlagen die naar verluidt belangrijke informatie over coronavirus bevatten. De payload in de schadelijke RTF-bijlagen was een versie van de RoyalRoad-malwaretool. Vaak geassocieerd met Chinese bedreigingsactoren, maakt de tool gebruik van kwetsbaarheden in de vergelijkingseditor in MS Word.

Coronavirus-malware nam in korte tijd veel verschillende vormen aan. Medio maart 2020 verscheen er een nieuwe soort ransomware in het wild, genaamd CoronaVi2020. De CoronaVi2020 ransomware wordt voornamelijk verspreid via spam-e-mails en kwaadaardige bijlagen en vraagt om een relatief bescheiden 0,008 BTC (ongeveer 50 USD) losgeld, en lijkt zich te richten op gewone thuisgebruikers in plaats van op bedrijven en overheidsinstellingen. De ransomware beïnvloedt de meest voorkomende bestandstypen, waaronder afbeeldingen, databases en kantoorbestanden, waarbij de ransomware het e-mailadres van de auteur - coronaVi2022 [at] protonmail [dot] ch - voor de getroffen bestanden plaatst.

De Coronavirus ransomware werd ook gespot gebundeld met de info-stealer trojan Kpot. Een kwaadaardige site verspreidde een uitvoerbaar bestand met de naam WSHSetup.exe dat in feite een bundel was die zowel de coronavirus-ransomware als de Kpot Trojan bevatte. Kpot kan accountinformatie van een aantal webbrowsers, e-mailaccounts, cryptocurrency-wallets en gamedistributieclients schrapen.

Naast de CoronaVi2022-desktop-ransomware werden telefoons geraakt door een kwaadaardige app die zich voordeed als een coronavirus-tracker. De mobiele malware werkte min of meer als ransomware, vergrendelde de telefoon en vroeg om $ 250 aan losgeld. Gelukkig was de mobiele ransomware een haastige klus ondanks de zeer bedreigende berichten aan het slachtoffer. Beveiligingsonderzoekers konden in het kluisje zelf een hardgecodeerde universele sleutel vinden. Iedereen die de mobiele coronavirus-tracker-ransomware heeft, kan zijn telefoon ontgrendelen met de code '4865083501'. De ontdekking is gedaan door het DomainTools-beveiligingsteam.

De plotselinge piek in coronavirus-malware maakte ook enkele oudere bedreigingen weer actueel. De info-stealer AZORult die in 2016 debuteerde, haalde opnieuw de krantenkoppen, nadat het werd gebruikt in een nep-online COVID-19-infectie- en mortaliteit-volgkaart. De echte kaart wordt onderhouden door het science and engineering center van de Johns Hopkins University en wordt gehost op een heel ander domein. De kwaadaardige site die de nepkaart host, heeft zijn visuele stijl perfect gekopieerd, maar ook een payload met de naam 'corona.exe' gedistribueerd die AZORult bevat en slachtoffer systemen schrapt voor onder meer portefeuilles met cryptocurrency en Steam-accounts. Het domein dat de schadelijke online kaart heeft gehost, is verwijderd.

De beste manier waarop thuisgebruikers veilig kunnen blijven en hun systemen kunnen beschermen tegen coronavirus-malware is om alleen bestanden van vertrouwde sites te downloaden, nooit op ongevraagde links te klikken en de adresbalk van hun browser te controleren om te zien of de URL correct is gespeld en wijst aan wat ze verwachten.

Nu COVID-19-gevallen in de echte wereld exponentieel groeien in een aantal nieuwe landen, moeten computergebruikers verwachten dat hackers blijven profiteren van deze wereldwijde gezondheidscrisis.

Over EnigmaSoft Limited

EnigmaSoft Limited is een particulier Iers bedrijf met kantoren en wereldwijd hoofdkantoor in Dublin, Ierland. EnigmaSoft is vooral bekend voor het ontwikkelen en distribueren van SpyHunter , een anti-malware softwareproduct en service. SpyHunter detecteert en verwijdert malware, verbetert de internetprivacy en elimineert beveiligingsbedreigingen - het aanpakken van problemen zoals malware, ransomware, trojans, malafide antispyware en andere kwaadaardige beveiligingsbedreigingen die miljoenen pc-gebruikers op internet treffen.