Δευτέρα, 1 Ιουνίου, 04:24
Αρχική security Phishing καμπάνια με θέμα τον κορωνοϊό παραδίδει malware

Phishing καμπάνια με θέμα τον κορωνοϊό παραδίδει malware

Μια συνεχιζόμενη εκστρατεία phishing που παραδίδει email που παρουσιάζονται ως επίσημα μηνύματα από τον Γενικό Διευθυντή του Παγκόσμιου Οργανισμού Υγείας (Π.Ο.Υ.) εξαπλώνει ενεργά τα payload του HawkEye malware στις συσκευές των ανυποψίαστων θυμάτων.

Αυτή η καμπάνια spam ξεκίνησε σήμερα σύμφωνα με τους ερευνητές της IBM X-Force Threat Intelligence, οι οποίοι το έβλεπαν και έχει ήδη παραδώσει αρκετά κύματα email που προσπαθούν να πείσουν ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας.

“Το HawkEye έχει σχεδιαστεί για να κλέβει πληροφορίες από μολυσμένες συσκευές, αλλά μπορεί επίσης να χρησιμοποιηθεί ως loader, που εκμεταλλεύεται τα botnets για να προσελκύσει άλλα malware στη συσκευή ως υπηρεσία τρίτων φορέων εγκλήματος στον κυβερνοχώρο”, δήλωσε προηγουμένως η ερευνητική ομάδα της IBM X-Force.

Το Malspam υπόσχεται οδηγίες πρόληψης και θεραπείας του κορωνοϊού

Τα email έρχονται με συνημμένα αρχεία που περιέχουν ένα εκτελέσιμο αρχείο CURE.exe του Coronavirus Disease (Covid-19) που περιγράφεται από τους εισβολείς ως ένα αρχείο με οδηγίες σχετικά με τα κοινά φάρμακα που πρέπει να ληφθούν για την πρόληψη και τη γρήγορη θεραπεία αυτού του θανάσιμου ιού που ονομάζεται ως κορωνοϊός (Coronavirus COVID- 19). ”

“Αυτή είναι μια οδηγία του Παγκόσμιου Οργανισμού Υγείας για να σας βοηθήσει στην μάχη κατά του κορωνοϊού “, προσθέτουν και τα μηνύματα ηλεκτρονικού “ψαρέματος” (phishing email).

malware

Οι στόχοι καλούνται επίσης να αναθεωρήσουν το συνημμένο αρχείο και να ακολουθήσουν τις συνημμένες οδηγίες, καθώς και να το προωθήσουν σε οικογένεια και φίλους για να μοιραστούν τις “οδηγίες” που απαιτούνται για την καταπολέμηση του ιού.

“Αυτά τα phishing email που ισχυρίζονται ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας παραδίδονται εξατομικευμένα απευθύνοντας στον παραλήπτη ένα όνομα χρήστη που το «βρίσκουν» από το email”, διαπίστωσαν οι ερευνητές της IBM X-Force.

Ωστόσο, αντί για συμβουλές για φάρμακα σχετικά με τον κορωνοϊό, το εκτελέσιμο είναι πραγματικά ένα payload Keylogger HawkEye με δυνατότητες anti-VM και anti-sandbox που θα επιχειρήσουν να απενεργοποιήσουν το Windows Defender μέσω εγγραφής και να απενεργοποιήσουν τις σαρώσεις και τις ενημερώσεις χρησιμοποιώντας το PowerShell.

Συλλέγει και απομακρύνει τα credentials και τις πληκτρολογήσεις

Το HawkEye payload, ένα εκτελέσιμο αρχείο που ονομάζεται GqPOcUdjXrGtqjINREXuj.exe, φορτώνεται από το τμήμα πόρων μιας εικόνας Bitmap και εγχέεται χρησιμοποιώντας το Process Hollowing.

Το δείγμα HawkEye που αναλύεται από το IBM X-Force είναι ικανό να καταγράφει πληκτρολογήσεις σε μολυσμένες συσκευές, αλλά μπορεί επίσης να τραβάει screenshots και να κλέβει τα credentials του χρήστη από ένα ευρύ φάσμα εφαρμογών και από το πρόχειρο του συστήματος.

Το malware θα συγκεντρώνει τα credentials από προγράμματα περιήγησης ιστού και προγράμματα ηλεκτρονικού ταχυδρομείου όπως Firefox, Thunderbird, Postbox, SeaMonkey, WaterFox, PaleMoon και πολλά άλλα. Όλα τα δεδομένα που συλλέγονται κρυπτογραφούνται και αποστέλλονται στους φορείς εκμετάλλευσης μέσω email μέσω του πρωτοκόλλου SMTP.

“Το δείγμα μπορεί να μεταφορτώσει άλλο malware από το http: // ypsmKO [.] Com, το ληφθέν malware θα αποθηκευτεί στο% temp% \ Svf”, προσθέτουν οι ερευνητές.

“Τα δεδομένα διαμόρφωσης του malware και άλλες σημαντικές ρυθμίσεις όπως ο SMTP server, η διεύθυνση ηλεκτρονικού ταχυδρομείου και ο κωδικός πρόσβασης που χρησιμοποιούνται είναι κρυπτογραφημένα AES και αποθηκευμένα σε έναν πίνακα”.

Τον Δεκέμβριο του 2019, το HawkEye κατέλαβε την έβδομη θέση στις κορυφαίες 10 από τις πιο επικρατούσες απειλές το 2019, με βάση τον αριθμό των δειγμάτων που φορτώθηκαν στην πλατφόρμα Any.Run για διαδραστική ανάλυση του malware.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

00:02:18

Πώς να προσθέσετε το YouTube κανάλι ή το Instagram σας στο TikTok

Το TikTok, μια από τις πιο διάσημες πλατφόρμες κοινωνικών δικτύων για τη δημιουργία και την ανάρτηση μίνι-βίντεο, έχει αποκτήσει μια μεγάλη βάση...

Γνώστα website σαρώνουν τους υπολογιστές των επισκεπτών τους

Πολλά γνωστά και ευρέως χρησιμοποιούμενα website χρησιμοποιούν ένα script προστασίας από απάτες, το οποίο σαρώνει τον τοπικό υπολογιστή σας για προγράμματα απομακρυσμένης...

Google Chrome: Νέο “anti-notification spam” σύστημα από τον Ιούλιο

Η Google ανακοίνωσε ότι σχεδιάζει να ενεργοποιήσει το νέο της "anti-notification spam" σύστημα στο Chrome, με την...

Η Amtrak επαναφέρει τους κωδικούς πρόσβασης των χρηστών μετά από παραβίαση δεδομένων

Η National Railroad Passenger Corporation (Amtrak) αποκάλυψε μια παραβίαση δεδομένων που οδήγησε στην έκθεση προσωπικών πληροφοριών ορισμένων μελών του Guest Rewards.

Οι διαμαρτυρίες στις ΗΠΑ καθυστερούν την εκδήλωση για το Android 11

Όπως ήταν προγραμματισμένο, η εκδήλωση για την παρουσίαση των χαρακτηριστικών του νέου Android 11 από την Google...

Η Cisco παραβιάστηκε μέσω εκμετάλλευσης των SaltStack servers

Η Cisco είπε σήμερα ότι ορισμένοι από τους servers υποστήριξης Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) παραβιάστηκαν με εκμετάλλευση κρίσιμων...

Valak Malware: Κλέβει δεδομένα από Microsoft Exchange Servers

Το 2019, το Valak Malware παρατηρήθηκε για πρώτη φορά, ως malware loader. Πρόσφατα όμως, έγινε γνωστό ότι...

Συσκευή “anti-5G” που κοστίζει $ 350 είναι απλά ένα USB stick

Οι φαν των θεωριών συνωμοσίας 5G έχουν ήδη αγοράσει ένα κλειδί USB anti-5G με τιμή 350 $ που φαίνεται να είναι...

Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης

Αποκτήστε τα Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης: Αυτή τη περίοδο οι ώρες εργασίας από το σπίτι είναι...

Διέρρευσαν δεδομένα 47,5 εκατομμυρίων χρηστών του Truecaller

Η εφαρμογή Truecaller, βοηθά στον εντοπισμό των ανώνυμων κλήσεων και προσφέρει την επιλογή επισήμανσης των spammers.