2 април, 2020

Въпреки разпространението на SARS-COV-II (вируса), което причинява COVID-19 (болестта), се превръща във възможност за хакерите също да разпространяват зловреден софтуер и/или да стартират кибератаки. На фона на засиленото желание да се използва всякаква информация в домашни условия, хакери са създали вирус, който според масовата истерия краде пароли от социални мрежи. Истината е, че CoronaMap.exe започва със създаване на друг двоичен файл, наречен Corona.exe.

При анализа на този файл е лесно да се види, че това е архив, което означава, че той вероятно съдържа команди за изпълнение, които могат да го изпълнят. Просто използвайки архиватор за преглед на съдържанието, ще намерите два файла вътре в него и те са в режим на самоизвличане (SFX). Двата файла са Corona.bat и Corona.sfx.exe, които също можем да видим в procmon. След отваряне на файла Corona.bat, може да видим, че Corona.sfx.exe е извлечен с твърдо кодирана парола (3D2oetdNuZUqQHPJmcMDDHYoqkyNVsFk9r) в директорията C:\windows\system32. Пълният анализ ще намерите тук.

Атаката със злонамерен софтуер има за цел да насочи онези, които търсят картографски презентации на разпространението на COVID-19 в мрежата и да ги подмами да ги изтеглят. Когато стартират злонамерено приложение, което от своя преден край показва карта, заредена от достоверен онлайн източник, но на заден план компрометира компютъра.

Тагове: , , , ,