Złośliwe oprogramowanie Coronavirus wykorzystuje globalny obawy COVID-19, aby zainfekować urządzenia i ukraść dane

Dublin, Irlandia, 20 marca 2020 r. - W miarę szybkiego rozprzestrzeniania się koronawirusa użytkownicy Internetu boją się zetknięcia z wirusem i chcą uzyskać więcej informacji na temat wybuchu koronawirusa. Cyberprzestępcy wykorzystują pandemię koronawirusa (COVID-19) i żerują na obawach osób podatnych na rozprzestrzenianie złośliwego oprogramowania. W ciągu ostatnich kilku dni wiele cyberataków i odmian złośliwego oprogramowania o tematyce związanej z COVID-19 rozprzestrzeniło się po różnych częściach świata.

Uważa się, że zaawansowane trwałe zagrożenie (APT) stoi za atakiem ukierunkowanym na marzec 2020, nazwanym „Vicious Panda", który również rozprzestrzeniał złośliwe oprogramowanie koronawirusa. W ataku „Vicious Panda" wykorzystano wiadomości phishingowe skierowane do mongolskich instytucji rządowych. Wiadomości e-mail zawierały załączniki plików RTF, które rzekomo zawierały ważne informacje na temat koronawirusa. Ładunek zawarty w złośliwych załącznikach RTF był wersją narzędzia złośliwego oprogramowania RoyalRoad. Narzędzie to, często powiązane z chińskimi podmiotami grożącymi, wykorzystuje luki w edytorze równań w MS Word.

Złośliwe oprogramowanie koronawirusa przybierało wiele różnych postaci w krótkim czasie. W połowie marca 2020 r. Na wolności pojawiła się nowa odmiana oprogramowania ransomware o nazwie CoronaVi2020. Rozproszone głównie za pośrednictwem spamu i złośliwych załączników oprogramowanie ransomware CoronaVi2020 prosi o stosunkowo skromny okup w wysokości 0,008 BTC (około 50 USD) i wydaje się, że atakuje zwykłych użytkowników domowych zamiast korporacji i instytucji rządowych. Ransomware wpływa na najpopularniejsze typy plików, w tym obrazy, bazy danych i pliki biurowe, przy czym ransomware dołącza wiadomość e-mail autora - coronaVi2022 [at] protonmail [kropka] ch - przed uszkodzonymi plikami.

Oprogramowanie ransomware Coronavirus zostało również zauważone w pakiecie z trojanem Kpot do kradzieży informacji. Złośliwa witryna rozpowszechniała plik wykonywalny o nazwie WSHSetup.exe, który był faktycznie pakietem zawierającym zarówno oprogramowanie ransomware coronavirus, jak i trojan Kpot. Kpot może zbierać informacje o koncie z wielu przeglądarek internetowych, kont e-mail, portfeli kryptowalut i klientów dystrybucji gier.

Wraz z komputerowym oprogramowaniem ransomware CoronaVi2022 telefony zostały uszkodzone przez złośliwą aplikację udającą narzędzie do śledzenia koronawirusa. Mobilne szkodliwe oprogramowanie działało mniej więcej jak oprogramowanie ransomware, blokując telefon i żądając okupu w wysokości 250 USD. Na szczęście mobilne oprogramowanie ransomware było pospieszną pracą, pomimo bardzo groźnych wiadomości dla ofiary. Badacze bezpieczeństwa byli w stanie znaleźć zakodowany uniwersalny klucz w samej szafce. Każdy, kto dostał mobilne oprogramowanie ransomware do śledzenia koronawirusa, może odblokować swój telefon za pomocą kodu „4865083501". Odkrycia dokonał zespół badań bezpieczeństwa DomainTools.

Nagły skok w złośliwym oprogramowaniu koronawirusowym sprawił, że niektóre starsze zagrożenia znów stały się aktualne. Złodziej informacji AZORult, który zadebiutował w 2016 r., Ponownie znalazł się na pierwszych stronach gazet, po tym, jak został użyty w fałszywej internetowej mapie śledzenia zakażeń COVID-19 i śmiertelności. Prawdziwa mapa jest utrzymywana przez centrum nauki i inżynierii Uniwersytetu Johns Hopkins i jest hostowana w zupełnie innej dziedzinie. Złośliwa strona, na której znajduje się fałszywa mapa, doskonale skopiowała swój styl wizualny, ale także rozpowszechniła ładunek o nazwie „corona.exe", który zawiera AZORult i usuwa systemy ofiar między innymi z portfeli kryptowalut i kont Steam. Domena, na której znajdowała się złośliwa mapa online, została usunięta.

Najlepszym sposobem, aby użytkownicy domowi mogli pozostać bezpieczni i chronić swoje systemy przed złośliwym oprogramowaniem typu koronawirus, jest pobieranie plików tylko z zaufanych stron, nigdy nie klikaj niechcianych łączy i dwukrotnie sprawdź pasek adresu w przeglądarce, aby sprawdzić, czy adres URL jest napisany poprawnie i wskazuje do czego oczekują.

Ponieważ rzeczywiste przypadki COVID-19 zaczynają gwałtownie rosnąć w wielu nowych krajach, użytkownicy komputerów powinni oczekiwać, że hakerzy będą nadal korzystać z tego globalnego kryzysu zdrowotnego.

Informacje o EnigmaSoft Limited

EnigmaSoft Limited to prywatna irlandzka firma z biurami i globalną siedzibą w Dublinie w Irlandii. EnigmaSoft jest najbardziej znany z opracowywania i dystrybucji SpyHunter, oprogramowania i usługi anty-malware. SpyHunter wykrywa i usuwa złośliwe oprogramowanie, zwiększa prywatność w Internecie i eliminuje zagrożenia bezpieczeństwa - rozwiązując takie problemy, jak złośliwe oprogramowanie, oprogramowanie ransomware, trojany, nieuczciwe oprogramowanie antyszpiegowskie i inne złośliwe zagrożenia bezpieczeństwa wpływające na miliony użytkowników komputerów w sieci.