Веб-сайты, на которых установлено это вредоносное ПО, берут информацию из Интернета и генерируют ложные данные, которые делают их более обманчивыми.
Хакеры нашли способ лишить пользователей частной информации, используя карты, показывающие распространение коронавируса. Исследование по анализу угроз отмечает, что хакеры распространяют вредоносные программы, которые они маскируют под карты коронавирусов. При анализе было обнаружено, что эта вредоносная программа крадет учетные данные пользователей, которые включают в себя пароли, номера кредитных карт и другую информацию о браузере. Было установлено, что эта вредоносная программа использовала проверенную вредоносную программу под названием AZORult для кражи конфиденциальной информации пользователя.
Один из таких сайтов. Уже должен быть заблокирован. Но из много.
Исследование, проведенное исследователем кибербезопасности Reason Labs Шаем Альфаси (Shai Alfasi), сообщает, что хакеры изменили URL-адреса или добавили другую информацию, сохраняя при этом подлинный внешний вид исходного сайта, не давая пользователям понять, что что-то не так. В исследовании отмечается, что графический интерфейс пользователя (GUI) выглядит очень убедительно и собирает информацию из Интернета для обеспечения правильных показаний о коронавирусе. После входа на такие страницы у пользователя запрашивается загрузка, замаскированная под приложение, которое предлагает самую свежую информацию о распространении всемирной заразы.
После установки это программное обеспечение собирает частные данные, которые хакеры будут использовать для продажи, доступа к социальным сетям или манипулирования банковскими счетами в интернете. Вредоносная программа активирует штамм вредоносного программного обеспечения, известный как AZORult, который был впервые обнаружен в 2016 году. Согласно новостям. "Cookies, ID/пароли, bitcoin и многое другое используются для сбора истории просмотров". Данная утилита позволяет загружать другое вредоносное ПО на компьютер.
Corona-virus-Map.com.exe было одним из приложений, рассмотренных Alfasi. Это 3,26 Мб, и на данный момент оно может заразить только компьютеры с Windows, поскольку присутствует в расширении .exe. В то же время, как и вредоносная программа, Shai запустил 'procmon' и обнаружил "процесс с несколькими подканалами, сгенерированный 'CoronaMap.exe', который не является корневым процессом".
Этот .exe файл генерирует другой файл под названием Corona.exe, который является архивом, содержащим команды выполнения. После дальнейших исследований Шай обнаружил, что вредоносная программа хранит регистрационные данные учетной записи пользователя и передает их на сайт. В каталоге 'C:\Windows\Temp', также сгенерировался файл 'PasswordList.txt', в котором хранится вся информация о пользователе.
Анализируемый образец: