'Coronavirus Maps'에주의하십시오 – PC를 감염시켜 암호를 훔치는 악성 프로그램입니다

[아름이]

'Coronavirus Maps'에주의하십시오 – PC를 감염시켜 암호를 훔치는 악성 프로그램입니다

사이버 범죄자들은 ​​인터넷 사용자를 먹이로 삼을 수있는 모든 기회를 악용하지 않습니다.
COVID-19 (질병)를 유발하는 SARS-COV-II (바이러스)의 비참한 확산조차도 마찬가지로 맬웨어를 확산 시키거나 사이버 공격을 시작할 수있는 기회가되고 있습니다.
이유 Cybersecurity는 최근 전 세계적으로 혼란을 야기하는 새로운 코로나 바이러스에 대한 정보에 대한 인터넷 사용자의 갈망 증가를 이용하는 새로운 공격에 대해 자세히 설명 하는 위협 분석 보고서를 발표 했습니다.
이 악성 코드 공격은 특히 인터넷에서 COVID-19의 확산에 대한지도 제작 프레젠테이션을 찾고있는 사용자를 대상으로하고, 프런트 엔드에서 합법적 인 것으로로드 된 맵을 표시하는 악성 응용 프로그램을 다운로드하여 실행하도록 속입니다. 온라인 소스이지만 백그라운드에서 컴퓨터를 손상시킵니다.
오래된 멀웨어 구성 요소의 새로운 위협
알 수없는 피해자의 정보를 훔치도록 설계된 최신 위협은 지난주 MalwareHunterTeam에 의해 처음 발견 되었으며 Reason Labs의 사이버 보안 연구원 인 Shai Alfasi에 의해 분석되었습니다.
여기에는 2016 년에 발견 된 정보를 유출하는 악의적 인 소프트웨어 인 AZORult로 식별 된 맬웨어가 포함됩니다. AZORult 맬웨어는 웹 브라우저, 특히 쿠키, 인터넷 사용 기록, 사용자 ID, 암호 및 암호화 키에 저장된 정보를 수집합니다.

 
이러한 데이터를 브라우저에서 가져 오면 사이버 범죄자가 신용 카드 번호, 로그인 자격 증명 및 기타 다양한 중요한 정보를 훔칠 수 있습니다.
AZORult는 러시아 지하 포럼에서 컴퓨터에서 중요한 데이터를 수집하기위한 도구로 논의되고 있습니다. RDP (원격 데스크톱 프로토콜)를 통해 연결할 수 있도록 감염된 컴퓨터에서 숨겨진 관리자 계정을 생성 할 수있는 변종이 제공됩니다.
샘플 분석
Alfasi는 일반적으로 Corona-virus-Map.com.exe 라는 파일에 포함 된 맬웨어 를 연구 할 때 기술적 인 세부 정보를 제공합니다 . 페이로드 크기가 약 3.26MB 인 작은 Win32 EXE 파일입니다. 파일을 두 번 클릭하면 COVID-19의 확산에 대한 다양한 정보를 표시하는 창이 열립니다. 중심은  보고 된 코로나 바이러스 사례를 실시간으로 시각화하고 추적 할 수 있는 합법적 인 온라인 소스 인 Johns Hopkins University가 호스팅하는 것과 유사한 "감염 맵"  입니다.
사망 및 회복에 관한 통계는 오른쪽에있는 반면, 다른 국가에서 확인 된 사례의 수가 왼쪽에 표시됩니다. 이 창은 다양한 다른 관련 정보와 소스에 대한 링크가있는 대화식으로 나타납니다.
많은 사람들이 유해하다고 의심 할만한 설득력있는 GUI를 제시합니다. 제시된 정보는 무작위 데이터의 통합이 아니라 Johns Hopkins 웹 사이트에서 실제 COVID-19 정보를 모은 것입니다.
참고 로 Johns Hopkins University 또는 ArcGIS 에서 온라인으로 호스팅  한 원래 코로나 바이러스 맵  은 어떤 식 으로든 감염되거나 백도어되지 않으며 방문해도 안전합니다.
악성 소프트웨어는 연구자들이 탐지하고 분석하기 어려운 다중 하위 프로세스 기술과 함께 일부 패킹 계층을 활용합니다. 또한 작업 스케줄러를 사용하여 계속 작동 할 수 있습니다.
감염의 징후
Corona-virus-Map.com.exe를 실행하면 Corona-virus-Map.com.exe 파일과 여러 Corona.exe, Bin.exe, Build.exe 및 Windows.Globalization.Fontgroups의 복제본이 생성됩니다. exe 파일.

코로나 바이러스 맵
또한 맬웨어는 ZoneMap 및 LanguageList에있는 소수의 레지스터를 수정합니다. 여러 뮤텍스도 생성됩니다.
맬웨어를 실행하면 Bin.exe, Windows.Globalization.Fontgroups.exe 및 Corona-virus-Map.com.exe 프로세스가 활성화됩니다. 여러 URL에 연결하려고합니다.

 
이러한 프로세스와 URL은 공격에 수반되는 샘플 일뿐입니다. 다른 많은 파일이 생성되고 프로세스가 시작되었습니다. 맬웨어가 다양한 종류의 정보를 수집하려고 시도함에 따라 다양한 네트워크 통신 활동을 만듭니다.
공격이 정보를 훔치는 방법
Alfasi는 Reason Security 블로그의 블로그 게시물에서 멀웨어를 어떻게 해부했는지에 대한 자세한 설명을 제공했습니다. Ollydbg로 Bin.exe 프로세스를 분석 한 것이 가장 중요합니다. 따라서 프로세스는 일부 동적 링크 라이브러리 (DLL)를 작성했습니다. DLL "nss3.dll"은 다른 배우들과 친분이 있었기 때문에 그의 관심을 끌었습니다.
코로나 바이러스 맵
Alfasi는 nss3.dll와 (과) 관련된 API의 정적 로딩을 관찰했습니다. 이러한 API는 저장된 비밀번호의 암호 해독 및 출력 데이터 생성을 용이하게하는 것으로 나타났습니다.
이것은 데이터 도둑이 사용하는 일반적인 접근 방식입니다. 비교적 간단하지만 감염된 웹 브라우저에서 로그인 데이터 만 캡처하여 C : \ Windows \ Temp 폴더로 옮깁니다. 이는 AZORult 공격의 특징 중 하나입니다. 여기서 맬웨어는 데이터를 추출하고 감염된 컴퓨터의 고유 ID를 생성하며 XOR 암호화를 적용한 다음 C2 통신을 시작합니다.
이 악성 코드는 Telegram 및 Steam과 같은 일반적인 온라인 계정에서 로그인 데이터를 훔치기 위해 특정 호출을합니다.
강조하기 위해 맬웨어 실행은 정보 스털링 프로세스를 진행하는 데 필요한 유일한 단계입니다. 피해자는 창과 상호 작용하거나 민감한 정보를 입력 할 필요가 없습니다.

청소 및 예방
홍보용으로 들릴 수도 있지만 Alfasi는 Reason Antivirus 소프트웨어를 감염된 장치를 수정하고 추가 공격을 방지하는 솔루션으로 제안합니다. 그는 결국 Reason Security와 제휴합니다. 이유는이 새로운 위협을 찾아서 면밀히 조사한 최초의 사람이므로 효과적으로 처리 할 수 ​​있습니다.
3 월 9 일에 Reason이 공개 한 이후 다른 보안 회사에서도이 위협에 대해 이미 알고있을 것입니다. 바이러스 백신 또는 맬웨어 방지 도구는 게시 시점에 업데이트 될 예정입니다.
이와 같이, 이들은 새로운 위협을 탐지하고 방지 할 수 있습니다.
기회 적 "코로나 바이러스 맵"맬웨어를 제거하고 중지하는 핵심은 올바른 맬웨어 방지 시스템을 갖추는 것입니다. 올바른 소프트웨어 도구없이 감염을 제거하지는 않지만 수동으로 탐지하는 것은 쉽지 않습니다.

요즘 많은 코로나 바이러스에 대한 정보에 접근하는 데 많은 사람들이 인터넷에서 파일을 다운로드하고 실행하는 데주의를 기울이면 충분하지 않을 수 있습니다.
COVID-19의 유행성 수준의 분산은 질병의 수축을 피하기 위해 오프라인뿐만 아니라 온라인에서도 가장주의해야합니다. 사이버 공격자는 웹에서 코로나 바이러스 관련 리소스의 인기를 악용하고 있으며, 많은 사람들이 공격에 노출 될 수 있습니다.