這次巨大生命威脅的災(zāi)難中，我們只記得COVID-19的SARS-COV-II病毒的災(zāi)難性傳播，與此同時(shí)，他們傳播惡意軟件或發(fā)起網(wǎng)絡(luò)攻擊的機(jī)會。網(wǎng)絡(luò)罪犯將不遺余力地利用一切機(jī)會掠奪互聯(lián)網(wǎng)用戶。

Reason Cybersecurity最近發(fā)布了一份威脅分析報(bào)告，其中詳細(xì)介紹了一種新攻擊，該攻擊利用了互聯(lián)網(wǎng)用戶對全球肆虐肆虐新型冠狀病毒信息的恐懼、焦急心理進(jìn)行傳播。當(dāng)你打開這些有關(guān)冠狀病毒的網(wǎng)頁以及APP時(shí)，你就被攻陷了。

??[[318639]]??

該惡意軟件攻擊專門針對那些正在尋找COVID-19傳播的地圖的人，與此同時(shí)，黑客會通過誘使他們下載并運(yùn)行一個(gè)惡意應(yīng)用程序來達(dá)到目的，該應(yīng)用程序的前端顯示從合法站點(diǎn)加載的地圖。你認(rèn)為它是無害的，但在后臺會危害計(jì)算機(jī)。

具有舊惡意軟件組件的新威脅

直到3月初，安全團(tuán)隊(duì)才發(fā)現(xiàn)這個(gè)從不知情的受害者那里竊取信息的可怕威脅，如今，Reason Labs的網(wǎng)絡(luò)安全研究員Shai Alfasi已對其進(jìn)行了深入的研究。

利用從APP后臺以及被操控后臺的網(wǎng)頁的數(shù)據(jù)，網(wǎng)絡(luò)犯罪分子就有可能竊取信用卡號，登錄憑據(jù)以及各種其他敏感信息。

最根溯源，這個(gè)電腦病毒的根源在下：它涉及一個(gè)在2016年被發(fā)現(xiàn)的被標(biāo)識為AZORult的惡意軟件。AZORult惡意軟件的作用是收集存儲在Web瀏覽器中的信息，特別是cookie，瀏覽歷史記錄，用戶ID，密碼，甚至是加密貨幣密鑰。

據(jù)報(bào)道，在俄羅斯地下網(wǎng)絡(luò)論壇討論了AZORult，很多人發(fā)現(xiàn)它是一種從計(jì)算機(jī)收集敏感數(shù)據(jù)的工具演變過來的變種。它帶有一個(gè)變體，能夠在受感染的計(jì)算機(jī)中生成一個(gè)隱藏的管理員帳戶，以通過遠(yuǎn)程桌面協(xié)議(RDP)啟用連接。

樣本分析

Alfasi提供了有關(guān)研究惡意軟件的技術(shù)細(xì)節(jié)，該惡意軟件通過嵌入在文件不被發(fā)覺，一般它的命名為Corona-virus-Map.com.exe。這是一個(gè)小的Win32 EXE文件，有效負(fù)載大小僅為3.26 MB左右。

雙擊文件將打開該病毒地圖軟件，窗口會顯示有關(guān)冠狀病毒傳播的各種信息。這個(gè)病毒軟件利用是約翰·霍普金斯大學(xué)(Johns Hopkins University)的“感染地圖”，人家原本是一個(gè)合法的在線資源，為的是實(shí)時(shí)可視化、跟蹤報(bào)告冠狀病毒。

被感染的病毒地圖軟件顯示了不同國家的確診病例數(shù)，右側(cè)是死亡和康復(fù)統(tǒng)計(jì)數(shù)據(jù)。窗口似乎是交互式的，帶有用于其他各種相關(guān)信息的選項(xiàng)卡以及到源的鏈接。

????

這個(gè)被病毒軟件走了后門的軟件提供了令人信服的數(shù)據(jù)和畫面，說實(shí)話沒有多少人會懷疑這是有害的。實(shí)際上他們所提供的信息是從Johns Hopkins網(wǎng)站轉(zhuǎn)過來的COVID-19信息。

需要指出的是，約翰霍普金斯大學(xué)開發(fā)的原始冠狀病毒地圖沒有任何感染或后門之處，可以安全地訪問。

該惡意軟件則是利用了一些打包層，并注入了多子過程技術(shù)，這給研究人員檢測和分析帶來了挑戰(zhàn)。此外，它采用了任務(wù)計(jì)劃程序，因此可以繼續(xù)運(yùn)行。

感染跡象

執(zhí)行Corona-virus-Map.com.exe會導(dǎo)致創(chuàng)建Corona-virus-Map.com.exe文件和多個(gè)Corona.exe，Bin.exe，Build.exe和Windows.Globalization.Fontgroups的重復(fù)項(xiàng)。

令人震驚的是，該惡意軟件還會修改區(qū)域地圖和語言列表下的少數(shù)寄存器。與此同時(shí)還創(chuàng)建了多個(gè)互斥鎖。

惡意軟件的執(zhí)行將激活以下過程：Bin.exe，Windows.Globalization.Fontgroups.exe和Corona-virus-Map.com.exe。這些嘗試連接到多個(gè)URL。

這些進(jìn)程和URL注入攻擊所造成的后果我們可以預(yù)見的一個(gè)結(jié)果是，這個(gè)進(jìn)程會生成了許多其他文件，最后啟動(dòng)進(jìn)程。當(dāng)惡意軟件試圖收集各種信息時(shí)，它們會創(chuàng)建各種網(wǎng)絡(luò)通信活動(dòng)。

如何竊取信息

如何解析該病毒的詳細(xì)過程被展示在Alfasi在Reason Security的博客文章。一個(gè)重要的細(xì)節(jié)是他對Ollydbg中名字后綴為Bin應(yīng)用程序進(jìn)行的分析。因此，該過程編寫了一些動(dòng)態(tài)鏈接庫(DLL)。DLL“ nss3.dll”引起了他的注意。

Alfasi觀察到與nss3.dll相關(guān)的API的靜態(tài)加載。這些API似乎有助于解密已保存的密碼以及生成輸出數(shù)據(jù)。

這是數(shù)據(jù)竊賊常用的方法。它僅從受感染的Web瀏覽器捕獲登錄數(shù)據(jù)，并將其移至C：\ Windows \ Temp文件夾。這是AZORult攻擊的標(biāo)志之一，其中，惡意軟件提取數(shù)據(jù)，生成受感染計(jì)算機(jī)的唯一ID，應(yīng)用XOR加密，然后啟動(dòng)C2通信。

該惡意軟件會撥打特定電話，以試圖從常見的在線帳戶例如Telegram和Steam中竊取登錄數(shù)據(jù)。

要強(qiáng)調(diào)的是，惡意軟件執(zhí)行是其繼續(xù)進(jìn)行信息竊取過程所需的唯一步驟。受害者要注意的是無需與窗口互動(dòng)，或在其中輸入個(gè)人敏感信息。

如何預(yù)防

自從該漏洞在3月9日公開以來，其他安全公司也了解到了這種威脅。因此，3月9日之后他們的防病毒軟件或軟件保護(hù)程序?qū)⒃诎l(fā)布時(shí)進(jìn)行更新。

它們可能具有類似的檢測和預(yù)防新威脅的能力。

刪除和阻止被感染惡意軟件的“冠狀病毒圖”的重中之重是擁有正確的惡意軟件保護(hù)系統(tǒng)。手動(dòng)檢測將具有挑戰(zhàn)性，更不用說沒有正確的軟件工具就可以清除感染。

說到底：從互聯(lián)網(wǎng)上下載和運(yùn)行文件時(shí)，謹(jǐn)慎行事真的很重要，不要因?yàn)橐咔樾幕啪忘c(diǎn)開一些不知名的文件或者網(wǎng)頁進(jìn)行下載內(nèi)容，因?yàn)楫?dāng)今許多人都急于訪問有關(guān)新型冠狀病毒的信息。

COVID-19大流行水平分散不僅握住了人們緊張恐慌的心理，而且在在線時(shí)人們也需要格外小心利用它的居心叵測的人。網(wǎng)絡(luò)攻擊者正在利用Web上與冠狀病毒相關(guān)的資源的普及，許多普通人都可能會成為攻擊的犧牲品。