Ένα νέο ransomware που ονομάζεται CoronaVirus έχει διανεμηθεί μέσω ενός ψεύτικου website που προσποιείται ότι προωθεί το λογισμικό βελτιστοποίησης συστήματος της WiseCleaner.
Με τους αυξανόμενους φόβους και την ανησυχία της επιδημίας του κορωνοϊού (Corovavirus -COVID-19), ένας εισβολέας άρχισε να δημιουργεί μια εκστρατεία για τη διανομή ενός κοκτέιλ malware που αποτελείται από το CoronaVirus Ransomware και το Kpot Trojan.
Αυτό το νέο ransomware ανακαλύφθηκε από την MalwareHunterTeam και μετά από την περαιτέρω έλεγχο στην πηγή του αρχείου, καθορίστηκε ο τρόπος με τον οποίο σχεδιάζει ο φορέας απειλής να διανείμει το ransomware και πιθανές ενδείξεις που υποδηλώνουν ότι μπορεί στην πραγματικότητα να είναι ένα wiper.
Το CoronaVirus Ransomware διαδόθηκε μέσω του ψεύτικου website WiseCleaner
Για τη διανομή του malware, οι εισβολείς δημιούργησαν ένα website που μιμείται το νόμιμο website του WiseCleaner.com.
CoronaVirus Ransomware
Οι λήψεις σε αυτόν το website δεν είναι ενεργές, αλλά έχουν διανείμει ένα αρχείο που ονομάζεται WSHSetup.exe που λειτουργεί ως downloader τόσο για το CoronaVirus Ransomware όσο και για το Trojan που ονομάζεται Kpot.
Όταν τρέξει το πρόγραμμα, θα προσπαθήσει να κάνει λήψη διαφόρων αρχείων από ένα απομακρυσμένο website. Αυτήν τη στιγμή, μόνο τα αρχεία file1.exe και file2.exe είναι διαθέσιμα για λήψη, αλλά μπορείτε να δείτε ότι προσπαθεί να κατεβάσει συνολικά επτά αρχεία.
Το πρώτο αρχείο που κατέβηκε από το πρόγραμμα εγκατάστασης είναι ‘file1.exe’ και είναι το Trojan που κλέβει τον κωδικό πρόσβασης Kpot.
Όταν εκτελεστεί, θα επιχειρήσει να κλέψει τα cookies και τα login credentials από προγράμματα περιήγησης ιστού, προγράμματα ανταλλαγής μηνυμάτων, VPN, FTP, λογαριασμούς email, λογαριασμούς παιχνιδιών όπως τα Steam και Battle.net και άλλες υπηρεσίες. Το malware θα τραβήξει επίσης ένα screenshot της ενεργής επιφάνειας εργασίας και θα προσπαθήσει να κλέψει πορτοφόλια cryptocurrency που είναι αποθηκευμένα στον μολυσμένο υπολογιστή.
Οι πληροφορίες αυτές φορτώνονται στη συνέχεια σε ένα απομακρυσμένο site που διαχειρίζονται οι εισβολείς.
Το δεύτερο αρχείο, file2.exe, είναι το CoronaVirus Ransomware, το οποίο θα χρησιμοποιηθεί για την κρυπτογράφηση των αρχείων στον υπολογιστή.
Τα αρχεία που είναι κρυπτογραφημένα θα μετονομαστούν έτσι ώστε να συνεχίσουν να χρησιμοποιούν την ίδια επέκταση, αλλά το όνομα του αρχείου θα αλλάξει στo email του εισβολέα. Για παράδειγμα, το test.jpg θα κρυπτογραφηθεί και θα μετονομαστεί σε ‘coronaVi2022@protonmail.ch___1.jpg’.
Σε ορισμένες περιπτώσεις, όπως και παρακάτω, μπορεί να προεπιλέξει το email πολλές φορές στο όνομα του αρχείου.
Σε κάθε φάκελο που είναι κρυπτογραφημένος και στην επιφάνεια εργασίας, θα δημιουργηθεί ένα ransom note που ονομάζεται CoronaVirus.txt και απαιτεί 0.008 (~ $ 50) bitcoins σε μια διεύθυνση bitcoin hardcoded του bc1qkk6nwhsxvtp2akunhkke3tjcy2wv2zkk00xa3j, η οποία δεν έχει λάβει καθόλου πληρωμές μέχρι στιγμής.
Το ransomware θα μετονομάσει επίσης το C: Drive σε CoronaVirus.
Κατά την επανεκκίνηση, το ransomware θα εμφανίσει μια κλειδωμένη οθόνη που θα εμφανίζει το ίδιο κείμενο του ransom note πριν τα Windows φορτωθούν.
Ο επικεφαλής του SentinelLabs, Vitali Kremez είπε στο BleepingComputer ότι αυτό εμφανίζεται μέσω μιας τροποποίησης της τιμής του Manager “BootExecute” HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session που εκκινεί ένα εκτελέσιμο από το φάκελο% Temp% πριν φορτώσει οποιαδήποτε υπηρεσία των Windows κατά την εκκίνηση.
Μετά από 45 λεπτά, η οθόνη κλειδώματος θα εμφανίσει ένα ελαφρώς διαφορετικό μήνυμα. Ωστόσο, εξακολουθείτε να μην μπορείτε να εισάγετε κανένα κωδικό για να επιστρέψετε στο σύστημα.
Μετά από 15 λεπτά, κάνει επανεκκίνηση των Windows και κατά τη σύνδεσή του θα εμφανίσει το ransom note CoronaVirus.txt.
Αυτό είναι ένα περίεργο ransomware και εξακολουθεί να αναλύεται για αδυναμίες.
Βάσει του χαμηλού ποσού των λύτρων, της στατικής διεύθυνσης bitcoin και του μηνύματος, υπάρχει ισχυρή υποψία ότι αυτό το ransomware χρησιμοποιείται περισσότερο ως κάλυψη για τη μόλυνση Kpot και όχι για να συγκεντρώσει χρήματα.
Η θεωρία του BleepingComputer είναι ότι το ransomware χρησιμοποιείται για να αποσπά την προσοχή του χρήστη από το να συνειδητοποιήσει ότι το Kpot Trojan έχει εγκατασταθεί για να κλέψει τους κωδικούς πρόσβασης, τα cookies και τα πορτοφόλια cryptocurrency.
Όποιος έχει μολυνθεί από αυτήν την επίθεση θα πρέπει να χρησιμοποιήσει αμέσως έναν άλλο υπολογιστή για να αλλάξει αμέσως όλους τους κωδικούς πρόσβασης.
