Zlonamerna programska oprema Coronavirus izkorišča globalni strah COVID-19 za okužbo naprav in krajo podatkov

Dublin, Irska, 20. marca 2020 - Koronavirus še naprej hitro širi, se uporabniki interneta bojijo stika z virusom in želijo več informacij o izbruhu koronavirusa. Kibernetski kriminalci izkoriščajo pandemijo koronavirusa (COVID-19) in plenijo pred strahom ranljivih ljudi, da bi širili zlonamerno programsko opremo. Število kibernetskih napadov in sevov zlonamerne programske opreme, ki so bili tematizirani po tem, ko je COVID-19 v zadnjih nekaj dneh preletelo različna področja sveta.

Verjame se, da za napredno uporno grožnjo (APT) stoji za ciljanim napadom marca 2020, imenovanim "Vicious Panda", ki je širil tudi zlonamerno programsko opremo za koronavirus. V napadu "Vicious Panda" so bili uporabljeni lažni e-poštni naslovi, namenjeni mongolskim vladnim institucijam. E-poštna sporočila so priložila priloge datotek RTF, ki naj bi vsebovale pomembne informacije o koronavirusu. Uporabna obremenitev zlonamerne RTF priloge je bila različica orodja RoyalRoad za zlonamerno programsko opremo. Orodje pogosto povezuje s kitajskimi akterji groženj in v MS Word uporablja ranljivosti urejevalnika enačb.

Zlonamerna programska oprema Coronavirus je v kratkem času prevzela veliko različnih oblik. Sredi marca 2020 se je v naravi pojavil nov sev ransomware, imenovan CoronaVi2020. Razširjena programska oprema CoronaVi2020, distribuirana predvsem prek neželene e-pošte in zlonamernih prilog, zahteva razmeroma skromno odkupnino 0,008 BTC (približno 50 USD) in zdi se, da namesto korporacij in vladnih institucij cilja na redne domače uporabnike. Programska oprema vpliva na najpogostejše vrste datotek, vključno s slikami, bazami podatkov in pisarniškimi datotekami, pri čemer ransomware pred prizadetimi datotekami doda svoj avtorjev e-poštni naslov - coronaVi2022 [at] protonmail [dot] ch.

Coronavirusa izsiljevalska je tudi pikasta paketu z info-tat trojanski Kpot. Zlonamerno spletno mesto je širilo izvedljiv program z imenom WSHSetup.exe, ki je bil dejansko paket, ki je vseboval tako odkupno programsko opremo za koronavirus kot tudi Kpot Trojan. Kpot lahko strga podatke o računih iz številnih spletnih brskalnikov, e-poštnih računov, denarnic s kripto valutami in odjemalcev za distribucijo iger.

Skupaj z odkupno programsko opremo CoronaVi2022 je na telefone prišla zlonamerna aplikacija, ki predstavlja koronavirusni sledilnik. Zlonamerna programska oprema za mobilne naprave je delovala bolj ali manj kot odkupna programska oprema, zaklenila je telefon in zahtevala 250 dolarjev odkupnine. Na srečo je bila mobilna odkupna programska oprema hitra, kljub zelo grozečim sporočilom žrtvi. Varnostni raziskovalci so lahko v samem omarici našli trdo kodiran univerzalni ključ. Vsakdo, ki je dobil mobilno programsko opremo za sledenje koronavirusom, lahko odklene svoj telefon s kodo '4865083501'. Odkritje je prispevala raziskovalna skupina za varnost v domeni DomainTools.

Nenadni skok zlonamerne programske opreme za koronavirus je tudi nekatere starejše grožnje ponovno postal aktualna. Podatkovni ukradelec AZORult, ki je bil predstavljen leta 2016, je znova postavil naslove, potem ko so ga uporabili v lažnem spletnem zemljevidu za sledenje okužb in smrtnosti. Pravi zemljevid vodi znanstveno in inženirsko središče univerze Johns Hopkins in gostuje na povsem drugi domeni. Zlonamerno spletno mesto z ponarejenim zemljevidom je njegov vizualni slog odlično prepisalo, hkrati pa je razdelilo tudi koristno obremenitev z imenom 'corona.exe', ki vsebuje AZORult in strga sisteme žrtev za denarnice s kripto valutami in račune Steam. Domena, ki je gostila zlonamerni spletni zemljevid, je bila uničena.

Najboljši način, da lahko domači uporabniki ostanejo varni in zaščitijo svoje sisteme pred koronavirusno zlonamerno programsko opremo, nalagajo datoteke samo z zaupanja vrednih spletnih mest, nikoli ne kliknejo nobenih nezaželenih povezav in dvakrat preverijo naslovno vrstico svojega brskalnika in preverijo, ali je URL pravilno črkovan in točke na tisto, kar pričakujejo.

Ko se v številnih novih državah primeri dejanskega stanja COVID-19 začnejo eksponentno rasti, morajo uporabniki računalnikov pričakovati, da bodo hekerji še naprej izkoristili to svetovno zdravstveno krizo.

O podjetju EnigmaSoft Limited

EnigmaSoft Limited je irsko podjetje v zasebni lasti s sedeži in globalnim sedežem v Dublinu na Irskem. EnigmaSoft je najbolj znan po razvoju in distribuciji SpyHunterja, programskega izdelka in storitve proti škodljivi programski opremi. SpyHunter odkriva in odstranjuje zlonamerno programsko opremo, izboljšuje internetno zasebnost in odpravlja varnostne grožnje - reševanje vprašanj, kot so zlonamerna programska oprema, odkupna programska oprema, trojanci, lopovska vohunska programska oprema in druge zlonamerne varnostne grožnje, ki vplivajo na milijone uporabnikov računalnikov v spletu.