在这场危及生命的大规模灾难中,我们只记得COVID-19的SARS-COV-II病毒的灾难性传播,同时它们传播恶意软件或发动网络攻击的机会。网络罪犯会不惜一切代价对互联网用户下手。ReasonCyber??security最近发布了一份威胁分析报告,详细介绍了一种利用互联网用户对席卷全球的新型冠状病毒信息的恐惧和焦虑的新攻击。当你打开这些关于冠状病毒的网页和应用程序时,你就受到了威胁。恶意软件攻击专门针对那些寻找COVID-19传播地图的人,而黑客则通过诱骗他们下载和运行恶意应用程序来实现这一目标,该应用程序的前端显示从合法站点加载的消息。地图。您认为它是无害的,但在后台它会损害您的计算机。旧恶意软件组件的新威胁直到3月初,安全团队才发现这种从毫无戒心的受害者那里窃取信息的可怕威胁,现在ReasonLabs网络安全研究员ShaiAlfasi已经深入研究了它。使用来自应用程序后端的数据以及被操纵的网页,网络犯罪分子可能会窃取信用卡号、登录凭据和各种其他敏感信息。该计算机病毒的根本原因如下:它涉及一种名为AZORult的恶意软件,该恶意软件于2016年被发现。AZORult恶意软件通过收集存储在网络浏览器中的信息来工作,特别是cookie、浏览历史记录、用户ID、密码,甚至加密密钥.据报道,俄罗斯地下互联网论坛对AZORult进行了讨论,很多人发现它是从一种用于收集敏感数据的计算机工具演变而来的变种。它带有一个变体,能够在受感染的计算机中生成一个隐藏的管理员帐户,以启用通过远程桌面协议(RDP)的连接。样本分析Alfasi提供了研究该恶意软件的技术细节,该恶意软件被嵌入到一个通常名为Corona-virus-Map.com.exe的文件中而未被发现。它是一个小型Win32EXE文件,有效负载大小仅为3.26MB左右。双击该文件将打开病毒映射软件,一个窗口将显示有关冠状病毒传播的各种信息。该病毒软件使用了约翰霍普金斯大学的“感染地图”,该地图原本是一种合法的在线资源,用于对冠状病毒进行实时可视化、跟踪和报告。感染病毒地图软件显示了不同国家的确诊病例数,右侧有死亡和康复统计。该窗口似乎是交互式的,带有各种其他相关信息和来源链接的选项卡。被病毒软件后门的软件提供了令人信服的数据和图像,说实话没有多少人会怀疑它是有害的。事实上,他们提供的信息是从约翰·霍普金斯大学网站转过来的COVID-19信息。需要注意的是,由约翰霍普金斯大学开发的原始冠状病毒图谱没有任何感染和后门,可以安全访问。该恶意软件利用了一些封装层并注入了多子进程技术,这给研究人员的检测和分析带来了挑战。此外,它采用任务调度程序,因此它可以继续运行。感染迹象Corona-virus-Map.com.exe的执行会导致创建Corona-virus-Map.com.exe文件以及Corona.exe、Bin.exe、Build.exe和Windows.Globalization的多个副本.字体组。令人震惊的是,该恶意软件还修改了区域地图和语言列表下的少数寄存器。同时,创建了多个互斥量。执行恶意软件会激活以下进程:Bin.exe、Windows.Globalization.Fontgroups.exe和Corona-virus-Map.com.exe。这些尝试连接到多个URL。我们可以预见的这些进程和URL注入攻击的后果之一就是这个进程会生成很多其他的文件,最后启动这个进程。当恶意软件试图收集各种信息时,它们会创建各种网络通信活动。有关信息如何被窃取以及病毒如何被解析的详细信息,请参阅Alfasi在ReasonSecurity的博客文章。一个重要的细节是他对Ollydbg中Bin应用的分析。因此,该进程编写了一些动态链接库(DLL)。DLL“nss3.dll”引起了他的注意。Alfasi观察到nss3.dll相关API的静态加载。这些API似乎有助于解密保存的密码以及生成输出数据。这是数据窃贼常用的方法。它只从受感染的Web浏览器捕获登录数据并将它们移动到C:\Windows\Temp文件夹。这是AZORult攻击的标志之一,恶意软件提取数据,为受感染的计算机生成唯一ID,应用XOR加密,然后启动C2通信。该恶意软件会拨打特定的电话,试图从Telegram和Steam等常见在线帐户窃取登录数据。需要强调的是,执行恶意软件是它继续信息窃取过程所需的唯一步骤。受害者应该知道,没有必要与窗口互动或向其中输入敏感的个人信息。如何预防自该漏洞于3月9日公开以来,其他安全公司也了解到了该威胁。所以在3月9日之后,他们的杀毒软件或者软件保护程序都会随着发布而更新。它们可能具有相似的检测和预防新威胁的能力。删除和阻止感染恶意软件的“冠状病毒图”最重要的是拥有正确的恶意软件防护系统。手动检测将是一项挑战,更不用说在没有合适的软件工具的情况下消除感染了。底线:从互联网上下载和运行文件时要格外小心,不要因为疫情点击不明文件或网页下载内容,因为很多人都急于获取有关新型冠状病毒的信息。COVID-19大流行的横向传播不仅让人们感到不安,而且人们还需要在网上格外小心利用它的恶意人员。网络攻击者正在利用网络上冠状病毒相关资源的流行,许多普通人可能成为攻击的受害者。
