FERRAMENTAS LINUX: Cuidado com o 'Coronavirus Maps' - é um malware que infecta PCs para roubar senhas

domingo, 22 de março de 2020

Cuidado com o 'Coronavirus Maps' - é um malware que infecta PCs para roubar senhas



Confira !



Os cibercriminosos vão parar para explorar todas as chances de atacar os usuários da Internet.
Até a disseminação desastrosa do SARS-COV-II (o vírus), que causa o COVID-19 (a doença), está se tornando uma oportunidade para que eles também espalhem malware ou iniciem ataques cibernéticos.

Motivo. A Cybersecurity divulgou recentemente um relatório de análise de ameaças detalhando um novo ataque que tira proveito do desejo crescente de usuários da Internet por informações sobre o novo coronavírus que está causando estragos em todo o mundo.

O ataque de malware visa especificamente aqueles que procuram apresentações cartográficas da propagação do COVID-19 na Internet e os engana para baixar e executar um aplicativo malicioso que, em seu front-end, mostra um mapa carregado de uma legítima fonte on-line, mas em segundo plano compromete o computador.

Nova ameaça com um componente antigo de malware

A ameaça mais recente, projetada para roubar informações de vítimas involuntárias, foi detectada pela primeira vez pelo MalwareHunterTeam na semana passada e agora foi analisada por Shai Alfasi, pesquisadora de segurança cibernética do Reason Labs.

O ataque envolve um malware identificado como AZORult, um software malicioso que rouba informações descoberto em 2016. O malware AZORult coleta informações armazenadas em navegadores da Web, particularmente cookies, históricos de navegação, IDs de usuário, senhas e até chaves de criptomoeda.

Com esses dados extraídos dos navegadores, é possível que os cibercriminosos roubem números de cartão de crédito, credenciais de login e várias outras informações confidenciais.
O AZORult é discutido em fóruns subterrâneos russos como uma ferramenta para coletar dados confidenciais de computadores. Ele vem com uma variante capaz de gerar uma conta de administrador oculta em computadores infectados para permitir conexões via RDP (Remote Desktop Protocol).

Análise de amostra

O Alfasi fornece detalhes técnicos ao estudar o malware , incorporado no arquivo, geralmente chamado de Corona-virus-Map.com.exe . É um pequeno arquivo Win32 EXE com um tamanho de carga útil de apenas cerca de 3,26 MB.

Ao clicar duas vezes no arquivo abre uma janela que mostra várias informações sobre a propagação do COVID-19. A peça central é um "mapa de infecções" semelhante ao hospedado pela  Universidade Johns Hopkins, uma fonte online legítima  para visualizar e rastrear casos relatados de coronavírus em tempo real.

O número de casos confirmados em diferentes países é apresentado no lado esquerdo, enquanto as estatísticas de mortes e recuperações estão no lado direito. A janela parece ser interativa, com guias para várias outras informações relacionadas e links para fontes.

Apresenta uma GUI convincente que muitos não suspeitam ser prejudicial. As informações apresentadas não são uma amálgama de dados aleatórios, mas sim informações COVID-19 reais reunidas no site da Johns Hopkins.

É importante notar que o mapa original de coronavírus hospedado on-line pela Universidade Johns Hopkins ou pelo  ArcGIS  não é infectado ou possui backdoor de forma alguma e é seguro visitá-lo.
O software malicioso utiliza algumas camadas de embalagem, juntamente com uma técnica de subprocessos infundida para dificultar a detecção e análise dos pesquisadores. Além disso, ele emprega um agendador de tarefas para continuar operando.

O número de casos confirmados em diferentes países é apresentado no lado esquerdo, enquanto as estatísticas de mortes e recuperações estão no lado direito. A janela parece ser interativa, com guias para várias outras informações relacionadas e links para fontes.

O site apresenta uma GUI convincente que muitos não suspeitam ser prejudicial. As informações apresentadas não são uma amálgama de dados aleatórios, mas sim informações COVID-19 reais reunidas no site da Johns Hopkins.

É importante notar que o mapa original de coronavírus hospedado on-line pela Universidade Johns Hopkins ou pelo ArcGIS  não é infectado ou possui backdoor de forma alguma e é seguro visitá-lo.

O software malicioso utiliza algumas camadas de embalagem, juntamente com uma técnica de subprocessos infundida para dificultar a detecção e análise dos pesquisadores. Além disso, ele emprega um agendador de tarefas para continuar operando.


Sinais de infecção

A execução do Corona-virus-Map.com.exe resulta na criação de duplicatas do arquivo Corona-virus-Map.com.exe e de vários Corona.exe, Bin.exe, Build.exe e Windows.Globalization.Fontgroups. arquivos exe.




Além disso, o malware modifica um punhado de registros no ZoneMap e no LanguageList. Vários mutexes também são criados.

A execução do malware ativa os seguintes processos: Bin.exe, Windows.Globalization.Fontgroups.exe e Corona-virus-Map.com.exe. Eles tentam se conectar a vários URLs.

Esses processos e URLs são apenas uma amostra do que o ataque implica. Existem muitos outros arquivos gerados e processos iniciados. Eles criam várias atividades de comunicação em rede, pois o malware tenta reunir diferentes tipos de informações.

Como o ataque rouba as informações

Alfasi apresentou um relato detalhado de como ele dissecou o malware em uma postagem no blog Reason Security. Um detalhe de destaque é sua análise do processo Bin.exe com o Ollydbg. Assim, o processo gravou algumas bibliotecas de vínculo dinâmico (DLL). A DLL "nss3.dll" chamou sua atenção, pois é algo que ele conheceu de diferent
es atores.


O Alfasi observou um carregamento estático de APIs associadas ao nss3.dll. Essas APIs pareciam facilitar a descriptografia de senhas salvas, bem como a geração de dados de saída.

Essa é uma abordagem comum usada por ladrões de dados. Relativamente simples, ele captura apenas os dados de login do navegador infectado e os move para a pasta C: \ Windows \ Temp. É uma das marcas registradas de um ataque do AZORult, em que o malware extrai dados, gera um ID exclusivo do computador infectado, aplica a criptografia XOR e inicia a comunicação C2.
O malware faz chamadas específicas na tentativa de roubar dados de login de contas online comuns, como Telegram e Steam.

Para enfatizar, a execução de malware é a única etapa necessária para prosseguir com seus processos de roubo de informações. As vítimas não precisam interagir com a janela ou inserir informações confidenciais nela.

Limpeza e Prevenção

Pode parecer promocional, mas o Alfasi sugere o software Reason Antivirus como a solução para corrigir dispositivos infectados e impedir novos ataques. Afinal, ele é afiliado à Reason Security. A razão é a primeira a encontrar e examinar essa nova ameaça, para que eles possam lidar com ela de maneira eficaz.

É provável que outras empresas de segurança já tenham aprendido sobre essa ameaça, desde que a Reason a tornou pública em 9 de março. Seus antivírus ou ferramentas de proteção contra malware serão atualizados a partir do momento da publicação.

Como tal, eles podem ser igualmente capazes de detectar e impedir a nova ameaça.
A chave para remover e interromper o malware oportunista do "mapa de coronavírus" é ter o sistema de proteção contra malware certo. Será um desafio detectá-lo manualmente, e muito menos remover a infecção sem a ferramenta de software correta.

Pode não ser o suficiente para ser cauteloso no download e na execução de arquivos da Internet, pois muitos tendem a ter um excesso de acesso a informações sobre o novo coronavírus atualmente.
A dispersão do nível pandêmico do COVID-19 merece extrema cautela, não apenas offline (para evitar contrair a doença), mas também online. Os ciberataques estão explorando a popularidade dos recursos relacionados ao coronavírus na web e muitos provavelmente serão vítimas dos ataques.



Até a próxima !!

Nenhum comentário:

Postar um comentário