Interesul publicului pentru subiectul „Coronavirus” este exploatat de infractorii din mediul cibernetic

Actorii implicati in activitati din domeniul infractionalitatii online profita de orice eveniment care ar putea distrage atentia potentialelor victime de la conduita de securitate zilnica pe care ar trebui sa o practice. Iar pentru ca ne aflam intr-o perioada dominata de pandemia COVID-19, atacatorii incearca sa profite de pe urma popularitatii subiectului si a problemelor generate de raspandirea bolii la nivel mondial.

Reason Cybersecurity a publicat recent un raport detaliat al unui tip de atac care trimite utilizatorii interesati de cele mai recente informatii referitoare la raspandirea Coronavirus catre site-uri malitioase care, la prima vedere, par a contine harti ale raspandirii infectiei. Odata ajunse pe astfel de site-uri, victimele sunt convinse sa instaleze aplicatii care ar urma sa le afiseze informatiile dorite pe o harta. In realitate, in background ruleaza aplicatii malitioase, care fura date de autentificare ale utilizatorilor creduli.

 

O amenintare noua cu o componenta veche de malware

Amenintarea a fost observata pentru prima data de MalwareHunterTeam la inceputul lunii martie 2020, fiind analizata de Shai Alfasi, cercetator in domeniul securitatii cibernetice la Reason Labs.

Cea mai recenta amenintare, conceputa pentru a fura informatii, implica un malware identificat ca AZORlut, utilizat pentru furtul de credentiale descoperit in 2016.

Programul malware AZORlut colecteaza informatii stocate in browserele web, in special in cookie-uri, istoricul de navigare, ID-uri de utilizator, parole, chiar si chei pentru criptomonede. Avand aceste date extrase din browsere, exista posibilitatea ca infractorii cibernetici sa fure numere de carduri de credit, date de autentificare si alte informatii sensibile.

AZORlut este un subiect discutat pe forumurile din Rusia, ca fiind un instrument pentru colectarea datelor sensibile de pe calculatoare. Acesta vine la pachet cu o varianta capabila sa genereze un cont de administrator ascuns in computerele infectate, pentru a activa conexiunile prin intermediul protocolului Desktop la distanta (RDP).

 

Cum functioneaza? Analiza probelor tehnice

Cel care a studiat acest malware, cercetatorul Shai Alfasi, spune ca acest malware este incorporat intr-un fisier, numit de obicei Corona-virus-Map.com.exe. Este un fisier mic Win32 EXE cu o dimensiune de aproximativ 3.26 MB.

Facand dublu click pe fisier, se deschide o fereastra care expune diverse informatii cu privire la raspandirea COVID-19. Piesa centrala este o „harta a infectarilor”, similara cu cea gazduita de Universitatea John Hopkins, o sursa online legitima pentru vizualizarea si raspandirea cazurilor de coronavirus raportate in timp real.

Numarul de cazuri confirmate in diferite tari sunt prezentate in partea stanga, in timp de numarul de decese si recuperarile sunt in partea dreapta. Fereastra pare a fi interactiva, cu tab-uri spre alte informatii conexe si linkuri catre surse.

Interfata grafica convingatoare nu ar prezenta semne de suspiciune pentru multi. Informatiile prezentate nu sunt aleatorii, ci sunt informatii reale COVID-19, reunite de pe websitul Universitatii John Hopkins.

De remarcat, harta originala a coronavirusului, gazduita online de Universitatea John Hopkins sau ArcGIS, nu este infectata sau nesecurizata, fiind sigura de vizitat.

Software-ul malitios utilizeaza anumite straturi de ambalare impreuna cu o tehnica multi-sub-proces infuzata care o fac dificil de detectat si analizat. In plus, foloseste un task scheduler (planificator de procese), astfel incat sa poata continua sa functioneze.

 

Semne de infectare

Executarea Corona-virus-Map.com.exe are ca rezultat crearea duplicatelor fisierului Corona-virus-Map.com.exe si a mai multor fisiere Corona.exe, Bin.exe, Build.exe, si Windows.Globalization.Fontgroups.exe.

In plus, programul malware modifica o serie de registre sub ZoneMap si LanguageList. Sunt create de asemenea mai multe mutex-uri.

Executarea programului malware activeaza urmatoarele procese: Bin.exe, Windows.Globalization.Fontgroups.exe, si Corona-virus-Map.com.exe. Acestea incearca sa se conectez la mai multe adrese URL.

Aceste procese si adresele URL sunt doar o mostra a ceea ce implica atacul. Exista multe alte fisiere generate si procese initiate. Acestea creeaza diverse activitati de comunicare in retea, in timp ce programul malware incearca sa adune diferite tipuri de informatii.

 

Cum se desfasoara furtul de informatii

Cercetatorul Shai Alfasi, cel care a studiat acest malware, a prezentat pe blogul sau un raport detaliat despre modul in care actioneaza acesta. Un detaliu important este analiza procesului Bin.exe cu Ollydbg. In consecinta, procesul a scris cateva biblioteci DLL (Dynamic-Link Library). DLL „nss3.dll” i-a atras atentia, deoarece ii era cunoscut din alte cazuri precedente.

Alfasi a observat o incarcare statica a API-urilor asociate cu nss3.dll. Aceste API-uri se pare ca faciliteaza decriptarea parolelor salvate, precum si generarea datelor de iesire (output data).

Aceasta este o abordare comuna folosita de hotii de date. Relativ simplu, capteaza doar datele de autentificare din browserul web si le muta in folderul C:\Windows\Temp. Este unul dintre reperele unui atac AZORlut, in care programul malware extrage date, genereaza un ID unic al computerului infectat, aplica criptarea XOR, apoi initiaza comunicarea C2.

Programul malware face call-uri specifice in incercarea de a fura datele de autentificare din conturile online comune, cum ar fi Telegram si Steam.

Executarea programului malware este singurul pas necesar pentru ca acesta sa continue procesele pentru sustragerea de informatii. Victimele nu trebuie sa interactioneze in vreun fel cu fereastra sau sa introduca informatii sensibile in aceasta.

 

Curatare si prevenire

Desi poate suna promotional, Alfasi sugereaza software-ul Reason Antivirus ca solutie pentru a remedia dispozitivele infectate si a preveni atacurile ulterioare. Pana la urma, cercetatorul Shai Alfasi ete afiliat la Reason Security, iar compania este prima care a gasit si examinat aceasta noua amenintare. Anuntul public a fost facut pe 9 martie.

Solutia pentru inlaturarea si oprirea malware-ului oportun „coronavirus map” este de a avea un sistem adecvat de protectie impotriva malware. Va fi dificil sa detectati problema manual si sa eliminati infectia fara un instrument software adecvat.

 

 

Precautia poate sa nu fie suficienta in descarcarea si rularea fisierelor de pe internet, deoarece in prezent multi tind sa fie nerabdatori in accesarea informatiilor despre noul coronavirus.

Raspandirea la nivel de pandemie a COVID-19 merita o mare precautie nu numai offline (pentru a evita contractarea bolii), ci si online. Infractorii cibernetici exploateaza popularitatea resurselor legate de coronavirus pe Internet si, probabil, multi vor cadea prada atacurilor.