Motivu Sibersekuriti foin lalais ne’e divulga relatóriu análize ameasa foun ne’ebé foti vantazen husi deseju uja internet ne’ebé aumenta maka’as ba informasaun kona-bá virus corona foun ne’ebé lori malisan mai mundu tomak.
Atake malware spesifikamente ho objetivu ba sira ne’ebé buka aprezentasaun kartográfika desiminasaun COVID-19 iha internet, no habosok sira atu tau no hala’o aplikasaun malisiozu (kruel), iha sira nia front-end, hatudu mapa ne’ebé foti husi fonte online lejítimu, maibé iha kotuk iha kompromete komputador.
Ameasa Foun ho Komponente Malware Tuan
"Corona-virus.exe" installer -> "Corona-virus-Map\.com.exe" (2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307) -> different malware samples + decoy viewer.
— MalwareHunterTeam (@malwrhunterteam) March 3, 2020
Has "FiasskHard Work CLIPPER + STEALER" & something (AZO?) w/ C2: http://coronavirusstatus[.]space/index.php pic.twitter.com/rB8EkbL8pY
Ameasa ikus, dezigna atu na’ok informasaun husi vítima ne’ebé la konsiente detekta ona husi ekipa MalwareHunter semana kotuk no oras ne’e análize hela hus Shai Alfasi, peskizador Siberseguransa iha Reason Labs.
Ida ne’e involve malware identifikadu nu’udar AZORult, software malisiozu na’ok informasaun sira ne’ebé deskobre iha tinan 2016. Malware AZORult kolleta informasaun ne’ebé tau iha Browser Web, partikularmente cookies, histokriku navegasaun, ID usuáriu, password to’o xave kriptomoeda.
Ho dadus ne’e foti husi browser, possível ba kriminozu siber atu na’ok númeru kartaun kréditu, kredensial login, no informasaun sensitivu seluk tan.
AZORult diskuti ona iha forum klandestina Rusia nu’udar ekipamentu rekoella dadus konfidensial husi komputador. Mosu ho varian ne’ebé bele produz konta administrador subar iha komputador ne’ebé infetadu hodi ativa koneksaun liu husi RDP (Remote Protokolu Desktop).
Análize Sample
Alfasi fornese tékniku klean kona-bá estuda malware ne’ebé kuda metin iha file, normalmente hanaran corona-virus-map.com.exe. Ne’e file Win32 EXE ki’ik ho nia medida payload kuaje 3,26 MB.
Klik dala rua file ne’e loke janela ne’ebé hato’o informasaun kona-bá desiminasaun COVID-19. Nia sentru mak “Mapa Infeksaun” ne’ebé atu hanesan ho observasaun Universidade Johns Hopkins, fonte online lejitima atu visualiza no hafuhu tuir kazu virus corona ne’ebé relata iha tempu real.
Númeru kazu konfirmadu iha nasaun diferente aprezenta iha parte karuk no estatistika kona-bá ema mate no rekopera iha parte loos. Janela mosu interativu tebes, ho matadalan ba informasaun oioin relasiona ho link sira ba fonte sira.
Aprezenta GUI ida konviniente ne’ebé barak mak la suspeita ba perigu. Informasaun sira ne’ebé aprezenta la’ós nu’udar dadus random, maibé informasaun aktual kona-bá COVID-19 ne’ebé rekoela husi site Johns Hopkins.
Importante tau iha nota katak, mapa virus corona orijinal ne’ebé host online husi Universidade Johns Hopkins ka ArcGIS la infeksaun ka asesu liu husi maneira saida de’it no seguru atu vizita.
Software malisiozu uja falun balun hamutuk ho tékniku multi-sub-prosesu tékniku infunda hodi difikulta peskizador sira atu detekta no análiza. Além de ne’e, emprega ajendador nune’e bele la’o nafatin.
Sinal infesaun
Ezekuta Corona-virus-Map.com.exe, Bin.exe, Build.exe no Windows.Globalization.Fontgroups.exe files.
Adisionalmente, malware modifika register balun iha ZoneMap nia okos no lista lingua. Halo mós mutex balun. Ezekusaun malware ativa hanesan prosesu tuir mai ne’e: Bin.exe, Windows.Globalization.Fontgroups.exe no Corona-virus-Map.com.exe. tentativa hirak ne’e hodi halo koneksaun ho URLs oioin.
Prosesu no URL ne’e nu’udar ijemplu husi saida mak presija husi atake ne’e. Iha file barak produz no prosesu hahu. Sira halo atividade rede komunikasaun oioin bainhira malware tenta rekoella informasaun oioin.
Oinsa atake na’ok informasaun
Alfabetu (Alfasi) aprezenta konta klean oinsa nia fahe (fera) malware iha postajen iha blog spot ida ho rajaun seguransa. Destaka ida mak nia análiza prosesu Bin.exeho Ollydbg. Nune’e, prosesu hakerek dinamika balun link ho biblioteka (DLL). DLL “nss3.dll” bolu nia atensaun tanba ne’e hanesan buat ida ne’ebé nia koñese husi autor diferente.
Alfabetu observa karega estátiku API asosiadu ho nss3.dll. API ne’e mosu fasilita deskriptografia password ne’ebé rai no jerasaun dadus output.
Ne’e nu’udar abordajen jeral ne’ebé na’ok ten sira uja hodi na’ok dadus. Relativamente simples, ida ne’e ka’er de’it dadus login husi browser (navegador) infeksaun no muda ba folder C:\ Windows \ Temp. Ida ne’e marka rejistadu atake ida husi AZORult, iha ne’ebé malware extrai dadus, produz ID úniku komputador ne’ebé infektadu, aplika kriptografia XOR no inisia komunikasaun C2.
Malware halo xamada balun hodi esforsu na’ok dadus login husi konta jeral online hanesan Telegrama no Steam.
Hodi emfaze, ezekusaun malwalre mak etapa úniku ne’ebé presija hodi kontinua ho prosesu na’ok informasaun. Vítima la presija halo interaksaun ho janela ka hatama informasaun konfidensial iha alran.
Hamoos no Prevensaun
Dalaruma rona hanesan promosional, maibé Alfabetu sujere software Anti Virus Reason nu’udar solusaun atu hadia devices ne’ebé infetadu no prevene atake tuir mai. Atu oinsa mós, nia afilia ho Seguransa Reason. Rajaun mak dahuluk, deskobre no análiza ameasa foun ne’e, nune’e sira bele rezolve ho efetivamente.
Empreza seguransa seluk dalaruma hatene ona kona-bá ameasa foun ne’e, ho rajaun públika sai ona iha loron 9 Marsu liuba. Devices anti virus ka protesaun malware sira sei hadia iha momentu públikasaun. Nune’e, sira mós dalaruma bele deteta no prevene ameasan foun.
Xave atu hamoos no hapara malware “coronavirus map” mak tenke iha sistema seguransa malware ne’ebé adekuadu. Sei difisil atu deteta ho manual, sa tan hamoos infeksaun sem software ne’ebé loos.
Dalaruma la sufisiente atu koidadu iha download no ezekusaun file husi internet, tanba ema barak tendensia kontente liu bainhira asesu informasaun foun kona-bá virus corona iha tempu ohin loron.
Dipersaun nível pandêmiku COVID-19 merese kautela la’ós de’it ho maneira offline (atu hado’ok a’an husi infesaun moras), maibé mós ho maneira online. Atake siber explora hela popularidade rekursu ne’ebé ligadu ho virus corona iha web, no barak dalaruma sei sai nu’udar alvu iha atake ne’e.
Referensia
https://coronavirus.jhu.edu/map.html
https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6
