Malware Covid-19 se espalha junto com o Coronavírus

Descobertas recentemente indicam que o Malware Covid-19 se espalha junto com o Coronavírus. Confira os detalhes dessa e de outras ameças relacionadas.

O assunto do momento é o Coronavírus, e como sempre, esse destaque é usado para levar malware aos usuários. E infelizmente, isso só tem crescido.

Malware Covid-19 se espalha junto com o Coronavírus

Sim. Os atores de ameaças ainda estão aproveitando o surto global em curso do COVID-19, tentando descartar cargas de malware e RAT do Remcos nos computadores de seus alvos através de arquivos maliciosos que prometem fornecer medidas de segurança para o Coronavírus.

Malware Covid-19 se espalha junto com o Coronavírus

Pesquisadores do Cybaze/Yoroi ZLAb recentemente descobriram um executável suspeito do CoronaVirusSafetyMeasures_pdf.exe depois que ele foi submetido ao seu serviço gratuito de análise de arquivos baseado em sandbox Yomi Hunter.

Embora o vetor de infecção usado pelos atacantes ainda não seja conhecido, o método mais provável de disseminação é uma campanha de phishing que o entregaria como um anexo de email.

RAT usado para roubar pressionamentos de teclas

Como a equipe de pesquisa Cybaze/Yoroi ZLAb descobriu mais tarde, o executável é um conta-gotas Remcos RAT ofuscado que descartaria um executável Remcos RAT no computador comprometido, junto com um arquivo VBS projetado para executar o RAT.

O malware também ganhará persistência no dispositivo infectado, adicionando uma chave do Registro de Inicialização em HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, que permitirá que ele se reinicie após a reinicialização do computador.

Depois de configurar tudo o que precisa para fins maliciosos, o RAT começará a registrar as teclas digitadas do usuário e armazená-lo em um arquivo log.dat na pasta %AppData%\Local\Temp\onedriv.

As informações roubadas são então filtradas para o servidor de comando e controle hospedado em 66 [.] 154.98.108.

No ano passado, os atacantes também aproveitaram a temporada de impostos dos Estados Unidos para instalar o Remcos RAT por meio de uma campanha de phishing que visava empresas de contabilidade a roubar informações de todos os contribuintes que o preparador de impostos tinha como clientes.

No início deste mês, os pesquisadores do IBM X-Force Threat Intelligence descobriram outra campanha de phishing distribuindo o malware ladrão de informações Lokibot por e-mails projetados para parecer que foram enviados pelo Ministério da Saúde da República Popular da China e contendo regulamentos emergenciais de coronavírus em inglês.

Os pesquisadores explicam que:

“Inspirados pelo Emotet e pelo aumento significativo das taxas de infecção por coronavírus, os operadores do Lokibot viram uma oportunidade de expandir sua botnet e se juntam à tendência atual de táticas de medo.”

A menção ao Emotet está relacionada a uma campanha anterior do final de janeiro, que também foi observada distribuindo cargas úteis de Emotet enquanto alerta para os relatórios de infecção por coronavírus em várias prefeituras japonesas.

Há cerca de uma semana, o coletivo de pesquisa de segurança MalwareHunterTeam encontrou um documento do Microsoft Office com três páginas e com temas de Coronavírus, contendo macros maliciosas, fingindo pertencer ao Centro de Saúde Pública do Ministério da Saúde da Ucrânia, e projetado para eliminar um malware de backdoor com a área de transferência roubo, keylogging e captura de tela.

Este malware foi detectado logo após a mídia noticiar protestos violentos a partir de Kiev, na Ucrânia, após um e-mail falso do Ministério da Saúde do país que espalhou informações falsas sobre infecções confirmadas pelo COVID-19 após o desembarque de um avião transportando ucranianos evacuados da província chinesa Hubei.

O MalwareHunterTeam também compartilhou várias outras amostras de malware com referências ao Coronavirus, incluindo um Trojan de Acesso Remoto (RAT), um Trojan, um stealer/keylogger e um wiper.

Outras campanhas de phishing que usam iscas de Coronavírus têm como alvo alvos dos EUA e do Reino Unido, ao se passar por funcionários e virologistas do CDC (Centro de Controle e Prevenção de Doenças) dos EUA, alertando suas possíveis vítimas de infecções em sua área e fornecendo ‘medidas de segurança’.

Um relatório publicado pelos pesquisadores da Imperva também destaca como “atualmente altos níveis de preocupação em torno do Coronavírus estão sendo usados ​​para aumentar a popularidade online de campanhas de spam projetadas para espalhar notícias falsas e levar usuários desavisados ​​a duvidosas farmácias on-line”.

A Comissão Federal de Comércio dos EUA (FTC) alertou sobre campanhas de fraude em andamento usando a atual crise de saúde em escala global do Coronavirus para atrair alvos dos Estados Unidos por meio de campanhas de phishing por e-mail e mensagens de texto, mensagens de texto e também nas mídias sociais.

Por último, mas não menos importante, cerca de uma semana atrás, a Organização Mundial da Saúde (OMS) também alertou para ataques de phishing com tema de coronavírus ativos que personificam a organização com o objetivo final de fornecer malware e roubar informações confidenciais.

O que está sendo falado no blog

Post Views: 185

Deixe um comentário

Sair da versão mobile