Κυριακή, 29 Μαρτίου, 16:33
Αρχική security Phishing καμπάνια με θέμα τον κορωνοϊό παραδίδει malware

Phishing καμπάνια με θέμα τον κορωνοϊό παραδίδει malware

Μια συνεχιζόμενη εκστρατεία phishing που παραδίδει email που παρουσιάζονται ως επίσημα μηνύματα από τον Γενικό Διευθυντή του Παγκόσμιου Οργανισμού Υγείας (Π.Ο.Υ.) εξαπλώνει ενεργά τα payload του HawkEye malware στις συσκευές των ανυποψίαστων θυμάτων.

Αυτή η καμπάνια spam ξεκίνησε σήμερα σύμφωνα με τους ερευνητές της IBM X-Force Threat Intelligence, οι οποίοι το έβλεπαν και έχει ήδη παραδώσει αρκετά κύματα email που προσπαθούν να πείσουν ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας.

“Το HawkEye έχει σχεδιαστεί για να κλέβει πληροφορίες από μολυσμένες συσκευές, αλλά μπορεί επίσης να χρησιμοποιηθεί ως loader, που εκμεταλλεύεται τα botnets για να προσελκύσει άλλα malware στη συσκευή ως υπηρεσία τρίτων φορέων εγκλήματος στον κυβερνοχώρο”, δήλωσε προηγουμένως η ερευνητική ομάδα της IBM X-Force.

Το Malspam υπόσχεται οδηγίες πρόληψης και θεραπείας του κορωνοϊού

Τα email έρχονται με συνημμένα αρχεία που περιέχουν ένα εκτελέσιμο αρχείο CURE.exe του Coronavirus Disease (Covid-19) που περιγράφεται από τους εισβολείς ως ένα αρχείο με οδηγίες σχετικά με τα κοινά φάρμακα που πρέπει να ληφθούν για την πρόληψη και τη γρήγορη θεραπεία αυτού του θανάσιμου ιού που ονομάζεται ως κορωνοϊός (Coronavirus COVID- 19). ”

“Αυτή είναι μια οδηγία του Παγκόσμιου Οργανισμού Υγείας για να σας βοηθήσει στην μάχη κατά του κορωνοϊού “, προσθέτουν και τα μηνύματα ηλεκτρονικού “ψαρέματος” (phishing email).

malware

Οι στόχοι καλούνται επίσης να αναθεωρήσουν το συνημμένο αρχείο και να ακολουθήσουν τις συνημμένες οδηγίες, καθώς και να το προωθήσουν σε οικογένεια και φίλους για να μοιραστούν τις “οδηγίες” που απαιτούνται για την καταπολέμηση του ιού.

“Αυτά τα phishing email που ισχυρίζονται ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας παραδίδονται εξατομικευμένα απευθύνοντας στον παραλήπτη ένα όνομα χρήστη που το «βρίσκουν» από το email”, διαπίστωσαν οι ερευνητές της IBM X-Force.

Ωστόσο, αντί για συμβουλές για φάρμακα σχετικά με τον κορωνοϊό, το εκτελέσιμο είναι πραγματικά ένα payload Keylogger HawkEye με δυνατότητες anti-VM και anti-sandbox που θα επιχειρήσουν να απενεργοποιήσουν το Windows Defender μέσω εγγραφής και να απενεργοποιήσουν τις σαρώσεις και τις ενημερώσεις χρησιμοποιώντας το PowerShell.

Συλλέγει και απομακρύνει τα credentials και τις πληκτρολογήσεις

Το HawkEye payload, ένα εκτελέσιμο αρχείο που ονομάζεται GqPOcUdjXrGtqjINREXuj.exe, φορτώνεται από το τμήμα πόρων μιας εικόνας Bitmap και εγχέεται χρησιμοποιώντας το Process Hollowing.

Το δείγμα HawkEye που αναλύεται από το IBM X-Force είναι ικανό να καταγράφει πληκτρολογήσεις σε μολυσμένες συσκευές, αλλά μπορεί επίσης να τραβάει screenshots και να κλέβει τα credentials του χρήστη από ένα ευρύ φάσμα εφαρμογών και από το πρόχειρο του συστήματος.

Το malware θα συγκεντρώνει τα credentials από προγράμματα περιήγησης ιστού και προγράμματα ηλεκτρονικού ταχυδρομείου όπως Firefox, Thunderbird, Postbox, SeaMonkey, WaterFox, PaleMoon και πολλά άλλα. Όλα τα δεδομένα που συλλέγονται κρυπτογραφούνται και αποστέλλονται στους φορείς εκμετάλλευσης μέσω email μέσω του πρωτοκόλλου SMTP.

“Το δείγμα μπορεί να μεταφορτώσει άλλο malware από το http: // ypsmKO [.] Com, το ληφθέν malware θα αποθηκευτεί στο% temp% \ Svf”, προσθέτουν οι ερευνητές.

“Τα δεδομένα διαμόρφωσης του malware και άλλες σημαντικές ρυθμίσεις όπως ο SMTP server, η διεύθυνση ηλεκτρονικού ταχυδρομείου και ο κωδικός πρόσβασης που χρησιμοποιούνται είναι κρυπτογραφημένα AES και αποθηκευμένα σε έναν πίνακα”.

Τον Δεκέμβριο του 2019, το HawkEye κατέλαβε την έβδομη θέση στις κορυφαίες 10 από τις πιο επικρατούσες απειλές το 2019, με βάση τον αριθμό των δειγμάτων που φορτώθηκαν στην πλατφόρμα Any.Run για διαδραστική ανάλυση του malware.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πώς η τηλεργασία κάνει τους χρήστες πιο ευάλωτους στους χάκερς;

Ο Κοροναϊός έχει μολύνει περισσότερους από 450.000 ανθρώπους παγκοσμίως και τώρα οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι η πανδημία θα...

Ποιες είναι οι πιο συχνές απειλές για τις επιχειρήσεις;

Κατά τη διάρκεια του 2019, οι μισές περίπου επιχειρήσεις έπεσαν θύμα μιας κυβερνοεπίθεσης ή παραβίασης δεδομένων. Σχεδόν...

Τρεις ακόμα συμμορίες ransomware εκθέτουν δεδομένα θυμάτων σε sites

Τρεις ακόμη συμμορίες ransomware ανακοίνωσαν τη δημιουργία sites, που χρησιμοποιούνται για τη διαρροή κλεμμένων δεδομένων, που ανήκουν...

Zoom: Ποια χαρακτηριστικά του το καθιστούν πιο δημοφιλές από το Skype;

Κάποτε το Skype ήταν η δημοφιλέστερη εφαρμογή βιντεοκλήσεων καθώς την επέλεγε ένα τεράστιο ποσοστό ανθρώπων όταν επρόκειτο να επικοινωνήσουν εξ αποστάσεως. Το...

Το «Control» και άλλα παιχνίδια διαθέσιμα πλέον στο GeForce Now

Η NVIDIA έχει εμπλουτίσει τον κατάλογο των παιχνιδιών που υποστηρίζονται στο GeForce Now, με ένα πλήθος νέων...

Ευπάθεια παράκαμψης VPN ανακαλύφθηκε στο Apple iOS

Μία νέα ευπάθεια «VPN Bypass», η οποία ανακαλύφθηκε πρόσφατα στο Apple iOS, μπλοκάρει την κρυπτογράφηση που πραγματοποιούν...

Εργοδότες παρακολουθούν με λογισμικά επιτήρησης τους υπαλλήλους που δουλεύουν από το σπίτι

Ο κορωνοϊός έχει φέρει νέες συνθήκες στον τομέα της εργασίας. Όλο και περισσότεροι εργαζόμενοι δουλεύουν πλέον από το σπίτι και όλο και...

Microsoft: Κυκλοφόρησε το πρώτο preview του Powershell 7.1 για Windows, Linux και macOS

Η Microsoft κυκλοφόρησε το πρώτο preview του PowerShell 7.1, του εργαλείου αυτοματοποίησης και γραφής γλώσσας για τα Windows, Linux και macOS. Το...

Η Google ανακοίνωσε ζητήματα σχετικά με τις ενημερώσεις του Chrome

Η Google έχει ήδη ανακοινώσει ορισμένες περικοπές στην ανάπτυξη του προγράμματος περιήγησης Chrome και τώρα φαίνεται ότι...

7 τρόποι για να αυξήσετε την ταχύτητα και την αξιοπιστία του Wi-Fi σας!

Τώρα που πολλοί από εμάς είμαστε στο σπίτι συνέχεια ως αποτέλεσμα της πανδημίας του COVID-19, υπερφορτώνουμε το οικιακό μας δίκτυο. Παρακάτω θα...