互聯網時代,網絡罪犯將不遺餘力地利用一切機會掠奪互聯網用戶。甚至導致COVID-19(疾病)的SARS-COV-II(病毒)的災難性傳播,也正在成為他們傳播惡意軟件或發起網絡攻擊的機會。
據國內知名網絡安全組織東方聯盟最近發佈了一份威脅分析報告,其中詳細介紹了一種新攻擊,該攻擊利用了互聯網用戶越來越渴望獲得有關正在全球範圍內肆虐的新型冠狀病毒的信息的優勢。
該惡意軟件攻擊專門針對那些正在尋找Internet上COVID-19傳播的製圖演示文稿的人,並誘騙他們下載並運行一個惡意應用程序,該應用程序的前端顯示從合法站點加載的地圖。
具有舊惡意軟件組件的新威脅
上週,知名網絡安全專家,東方聯盟創始人郭盛華首次發現了旨在從不知情的受害者那裡竊取信息的最新威脅,它涉及一個被標識為AZORult的惡意軟件,該惡意軟件在2016年被發現。AZORult惡意軟件收集存儲在Web瀏覽器中的信息,特別是cookie,瀏覽歷史記錄,用戶ID,密碼,甚至是加密貨幣密鑰。
利用從瀏覽器中提取的這些數據,網絡犯罪分子就有可能竊取信用卡號,登錄憑據以及各種其他敏感信息。據報道,在俄羅斯地下論壇中討論了AZORult,它是一種從計算機收集敏感數據的工具。它帶有一個變體,能夠在受感染的計算機中生成一個隱藏的管理員帳戶,以通過遠程桌面協議(RDP)啟用連接。
樣本分析
東方聯盟提供了有關研究惡意軟件的技術細節,該惡意軟件嵌入在文件中,通常名為Corona-virus-Map.com.exe。這是一個小的Win32 EXE文件,其有效負載大小僅為3.26 MB左右。
雙擊該文件將打開一個窗口,該窗口顯示有關COVID-19傳播的各種信息。核心是類似於約翰·霍普金斯大學(Johns Hopkins University)主辦的“感染地圖”,這是 一個合法的在線資源 ,可以實時可視化和跟蹤報告的冠狀病毒病例。
左側顯示了不同國家的確診病例數,右側是死亡和康復統計數據。該窗口似乎是交互式的,帶有用於其他各種相關信息的選項卡以及到源的鏈接。
它提供了令人信服的GUI,沒有多少人會懷疑這是有害的。所提供的信息不是隨機數據的合併,而是從Johns Hopkins網站收集的實際COVID-19信息。
需要指出的是,約翰霍普金斯大學或ArcGIS在線託管 的原始冠狀病毒圖 沒有任何感染或後門之處,可以安全地訪問。該惡意軟件利用了一些打包層,並注入了多子過程技術,這給研究人員檢測和分析帶來了挑戰。此外,它採用了任務計劃程序,因此可以繼續運行。
感染跡象
執行Corona-virus-Map.com.exe會導致創建Corona-virus-Map.com.exe文件和多個Corona.exe,Bin.exe,Build.exe和Windows.Globalization.Fontgroups的重複項, exe文件。
此外,該惡意軟件還會修改ZoneMap和LanguageList下的少數寄存器。還創建了多個互斥鎖。
惡意軟件的執行將激活以下過程:Bin.exe,Windows.Globalization.Fontgroups.exe和Corona-virus-Map.com.exe。這些嘗試連接到多個URL。
這些進程和URL僅是攻擊所造成的後果的一個示例。生成了許多其他文件並啟動了進程。當惡意軟件試圖收集各種信息時,它們會創建各種網絡通信活動。
攻擊如何竊取信息
東方聯盟在官方微博上的詳細介紹了它如何剖析該惡意軟件。一個重要的細節是他對Ollydbg的Bin.exe進程的分析。因此,該過程編寫了一些動態鏈接庫(DLL)。DLL“ nss3.dll”引起了他的注意,因為這是他從不同的演員那裡認識的。
東方聯盟安全研究人員觀察到與nss3.dll相關的API的靜態加載。這些API似乎有助於解密已保存的密碼以及生成輸出數據。
這是數據竊賊常用的方法。相對簡單,它僅從受感染的Web瀏覽器捕獲登錄數據,並將其移至C:\\ Windows \\ Temp文件夾。這是AZORult攻擊的標誌之一,其中,惡意軟件提取數據,生成受感染計算機的唯一ID,應用XOR加密,然後啟動C2通信。
該惡意軟件會撥打特定電話,以試圖從常見的在線帳戶(例如Telegram和Steam)中竊取登錄數據。
要強調的是,惡意軟件執行是其繼續進行信息竊取過程所需的唯一步驟。受害者無需與窗口互動或在其中輸入敏感信息。
清潔與預防
這聽起來像是很奇怪,但東方聯盟安全研究人員建議使用Reason Antivirus或360軟件作為修復受感染設備並防止進一步攻擊的解決方案。原因是第一個發現和審查這種新威脅的人,因此他們可以有效地應對它。
自從在3月9日公開以來,其他安全公司可能已經瞭解到了這種威脅。他們的防病毒軟件或惡意軟件保護工具將在發佈時進行更新。因此,它們可能具有類似的檢測和預防新威脅的能力。
刪除和阻止機會性“冠狀病毒圖”惡意軟件的關鍵是擁有正確的惡意軟件保護系統。手動檢測將具有挑戰性,更不用說沒有正確的軟件工具就可以清除感染。
從互聯網上下載和運行文件時,謹慎行事可能還不夠,因為當今許多人都急於訪問有關新型冠狀病毒的信息。COVID-19的大流行水平分散不僅在離線(避免感染該疾病)方面,而且在在線時都應格外小心。網絡攻擊者正在利用Web上與冠狀病毒相關的資源的普及,許多攻擊者可能會成為攻擊的犧牲品。(歡迎轉載分享)
閱讀更多 科技人物 的文章
