Обнаружена поддельная карта коронавирусных угроз

Киберпреступники запустили поддельный веб-сайт карты распространения коронавируса. С его помощью они крадут личную информацию у подвергшихся паники людей.

Новый сайт присоединился к растущему числу мошенников, использующих COVID-19. Это доказывает, что в то время как в мире, возможно, заканчиваются дезинфицирующие средства, у преступников не заканчиваются новые способы злоупотребления человеческим страхом и любопытством.

Исследователь Reason Labs  Шай Альфаси (Shai Alfasi) обнаружил, что карта выполняет свою грязную работу по ссылке www.corona-virus-map.com. Жертвам, которые посещают страницу, показывают карту земного шара с указанием, в каких странах распространяется вирус, а также статистические данные о количестве зарегистрированных случаев смертей и заражений.

Чтобы придать поддельной карте дополнительную ауру подлинности, преступники разработали ее так, что она имитирует настоящую карту угроз COVID-19, созданную Университетом Джона Хопкинса, которая также показывает страны, пораженные вирусом вместе с последними статистическими данными.  

"Вредоносная программа имеет графический интерфейс, который выглядит очень хорошо и убедительно", - сказал Альфаси.

Альфаси обнаружил электронные письма с ссылками на поддельную карту. Жертвы, которые переходили по ним, по незнанию, активировали вредоносное программное обеспечение, которое похищало их данные.

"Этот метод довольно распространен. Однажды я наткнулся на него, и после того, как немного покопался, обнаружил, что эта тактика пришла из семейства вредоносных программ под названием "AZORult", которая впервые была замечена в 2016 году", - сказал Альфаси.

AZORult обычно продается на российских хакерских форумах с целью сбора конфиденциальных данных с зараженных компьютеров. 

Вредоносное ПО может использоваться для кражи истории просмотров, файлов cookie, идентификаторов / паролей, криптовалюты, информации о кредитных картах, хранящейся в истории браузера пользователей, и многого другого. Оно также может загружать дополнительные вредоносные программы на зараженные компьютеры. 

В ходе исследования Альфаси наблюдал, как вредоносные программы «ищут разные кошельки криптовалюты, такие как Electrum и Ethereum».

Описывая то, как работает вредоносная программа, Альфаси сказал: «Когда жертва заражается, вредоносная программа извлекает данные и создает уникальный идентификатор рабочей станции. Затем она применяет шифрование XOR с использованием сгенерированного идентификатора. Этот ID используется для маркировки рабочей станции с целью запуска C2-соединения. 

«Сервер C2 отвечает данными конфигурации, которые содержат имена целевых веб-браузеров, информацию о путях веб-браузеров, имена API, запросы sqlite3 и допустимые библиотеки DLL».

В такое непростое время пользователи становятся более любопытны и могут подвергнуть опасности вашу сеть. Защитить вашу сеть от таких несанкционированных угроз могут программы и сервисы для защиты сетевого периметра. Наше решение позволяет сделать доступ в Интернет управляемым, безопасным и надежным. В отличие от сложных продуктов, в Ideco UTM вы можете настроить IPsec и SSTP буквально за несколько кликов.

Скачать Ideco UTM 7.9.9