這次巨大生命威脅的災(zāi)難中，我們只記得COVID-19的SARS-COV-II病毒的災(zāi)難性傳播，與此同時，他們傳播惡意軟件或發(fā)起網(wǎng)絡(luò)攻擊的機會。網(wǎng)絡(luò)罪犯將不遺余力地利用一切機會掠奪互聯(lián)網(wǎng)用戶。

Reason Cybersecurity最近發(fā)布了一份威脅分析報告，其中詳細介紹了一種新攻擊，該攻擊利用了互聯(lián)網(wǎng)用戶對全球肆虐肆虐新型冠狀病毒信息的恐懼、焦急心理進行傳播。當你打開這些有關(guān)冠狀病毒的網(wǎng)頁以及APP時，你就被攻陷了。

??[[318639]]??

該惡意軟件攻擊專門針對那些正在尋找COVID-19傳播的地圖的人，與此同時，黑客會通過誘使他們下載并運行一個惡意應(yīng)用程序來達到目的，該應(yīng)用程序的前端顯示從合法站點加載的地圖。你認為它是無害的，但在后臺會危害計算機。

具有舊惡意軟件組件的新威脅

直到3月初，安全團隊才發(fā)現(xiàn)這個從不知情的受害者那里竊取信息的可怕威脅，如今，Reason Labs的網(wǎng)絡(luò)安全研究員Shai Alfasi已對其進行了深入的研究。

利用從APP后臺以及被操控后臺的網(wǎng)頁的數(shù)據(jù)，網(wǎng)絡(luò)犯罪分子就有可能竊取信用卡號，登錄憑據(jù)以及各種其他敏感信息。

最根溯源，這個電腦病毒的根源在下：它涉及一個在2016年被發(fā)現(xiàn)的被標識為AZORult的惡意軟件。AZORult惡意軟件的作用是收集存儲在Web瀏覽器中的信息，特別是cookie，瀏覽歷史記錄，用戶ID，密碼，甚至是加密貨幣密鑰。

據(jù)報道，在俄羅斯地下網(wǎng)絡(luò)論壇討論了AZORult，很多人發(fā)現(xiàn)它是一種從計算機收集敏感數(shù)據(jù)的工具演變過來的變種。它帶有一個變體，能夠在受感染的計算機中生成一個隱藏的管理員帳戶，以通過遠程桌面協(xié)議(RDP)啟用連接。

樣本分析

Alfasi提供了有關(guān)研究惡意軟件的技術(shù)細節(jié)，該惡意軟件通過嵌入在文件不被發(fā)覺，一般它的命名為Corona-virus-Map.com.exe。這是一個小的Win32 EXE文件，有效負載大小僅為3.26 MB左右。

雙擊文件將打開該病毒地圖軟件，窗口會顯示有關(guān)冠狀病毒傳播的各種信息。這個病毒軟件利用是約翰·霍普金斯大學(xué)(Johns Hopkins University)的“感染地圖”，人家原本是一個合法的在線資源，為的是實時可視化、跟蹤報告冠狀病毒。

被感染的病毒地圖軟件顯示了不同國家的確診病例數(shù)，右側(cè)是死亡和康復(fù)統(tǒng)計數(shù)據(jù)。窗口似乎是交互式的，帶有用于其他各種相關(guān)信息的選項卡以及到源的鏈接。

????

這個被病毒軟件走了后門的軟件提供了令人信服的數(shù)據(jù)和畫面，說實話沒有多少人會懷疑這是有害的。實際上他們所提供的信息是從Johns Hopkins網(wǎng)站轉(zhuǎn)過來的COVID-19信息。

需要指出的是，約翰霍普金斯大學(xué)開發(fā)的原始冠狀病毒地圖沒有任何感染或后門之處，可以安全地訪問。

該惡意軟件則是利用了一些打包層，并注入了多子過程技術(shù)，這給研究人員檢測和分析帶來了挑戰(zhàn)。此外，它采用了任務(wù)計劃程序，因此可以繼續(xù)運行。

感染跡象

執(zhí)行Corona-virus-Map.com.exe會導(dǎo)致創(chuàng)建Corona-virus-Map.com.exe文件和多個Corona.exe，Bin.exe，Build.exe和Windows.Globalization.Fontgroups的重復(fù)項。

令人震驚的是，該惡意軟件還會修改區(qū)域地圖和語言列表下的少數(shù)寄存器。與此同時還創(chuàng)建了多個互斥鎖。

惡意軟件的執(zhí)行將激活以下過程：Bin.exe，Windows.Globalization.Fontgroups.exe和Corona-virus-Map.com.exe。這些嘗試連接到多個URL。

這些進程和URL注入攻擊所造成的后果我們可以預(yù)見的一個結(jié)果是，這個進程會生成了許多其他文件，最后啟動進程。當惡意軟件試圖收集各種信息時，它們會創(chuàng)建各種網(wǎng)絡(luò)通信活動。

如何竊取信息

如何解析該病毒的詳細過程被展示在Alfasi在Reason Security的博客文章。一個重要的細節(jié)是他對Ollydbg中名字后綴為Bin應(yīng)用程序進行的分析。因此，該過程編寫了一些動態(tài)鏈接庫(DLL)。DLL“ nss3.dll”引起了他的注意。

Alfasi觀察到與nss3.dll相關(guān)的API的靜態(tài)加載。這些API似乎有助于解密已保存的密碼以及生成輸出數(shù)據(jù)。

這是數(shù)據(jù)竊賊常用的方法。它僅從受感染的Web瀏覽器捕獲登錄數(shù)據(jù)，并將其移至C：\ Windows \ Temp文件夾。這是AZORult攻擊的標志之一，其中，惡意軟件提取數(shù)據(jù)，生成受感染計算機的唯一ID，應(yīng)用XOR加密，然后啟動C2通信。

該惡意軟件會撥打特定電話，以試圖從常見的在線帳戶例如Telegram和Steam中竊取登錄數(shù)據(jù)。

要強調(diào)的是，惡意軟件執(zhí)行是其繼續(xù)進行信息竊取過程所需的唯一步驟。受害者要注意的是無需與窗口互動，或在其中輸入個人敏感信息。

如何預(yù)防

自從該漏洞在3月9日公開以來，其他安全公司也了解到了這種威脅。因此，3月9日之后他們的防病毒軟件或軟件保護程序?qū)⒃诎l(fā)布時進行更新。

它們可能具有類似的檢測和預(yù)防新威脅的能力。

刪除和阻止被感染惡意軟件的“冠狀病毒圖”的重中之重是擁有正確的惡意軟件保護系統(tǒng)。手動檢測將具有挑戰(zhàn)性，更不用說沒有正確的軟件工具就可以清除感染。

說到底：從互聯(lián)網(wǎng)上下載和運行文件時，謹慎行事真的很重要，不要因為疫情心慌就點開一些不知名的文件或者網(wǎng)頁進行下載內(nèi)容，因為當今許多人都急于訪問有關(guān)新型冠狀病毒的信息。

COVID-19大流行水平分散不僅握住了人們緊張恐慌的心理，而且在在線時人們也需要格外小心利用它的居心叵測的人。網(wǎng)絡(luò)攻擊者正在利用Web上與冠狀病毒相關(guān)的資源的普及，許多普通人都可能會成為攻擊的犧牲品。