Egy hamis COVID-19 kapcsolatkereső alkalmazás elrejti az Unicorn Ransomware szoftvert
Általában sokat tudsz mondani a támadásokból származó számítógépes bűnözőkről. Az általuk alkalmazott trükkök gyakran jó képet adnak arról, hogy mennyire kifinomult az ellenfél, ám a nemrégiben megrendezett kampány, amely az Unicorn ransomware szoftvert terjesztette, bebizonyította, hogy a megjelenés néha megtévesztő.
Table of Contents
Az Unicorn ransomware eltalálja az olasz gyógyszertárakat
A támadás első észlelt egy biztonsági kutató megy becenéven JamesWT. Úgy tűnik, hogy egyértelműen az olasz gyógyszertárakra irányul, és kihasználja a COVID-19 válságát, hogy becsapja a felhasználókat egy viszonylag új, Unicorn nevű ransomware törzs telepítésébe.
Az F *** egyszarvú néven is ismert, hogy a rosszindulatú programokat kifejezetten erre a célra hozták létre, és úgy tűnik, hogy a támadás elég nagy ahhoz, hogy az olaszországi Számítógépes Emergency Response Team (CERT) tanácsát megkívánja.
A hackerek túllépték magukat, amikor a szociális mérnöki tevékenységről van szó
Egy e-maillel kezdődik, amely állítólag az Olasz Gyógyszerész Szövetségtől érkezik. Azt mondja, hogy a Szövetség elindítja a PC-alkalmazások béta verzióját, amely valós idejű adatokat szolgáltat az új koronavírus terjedéséről. Létezik letöltő link, és a hackerek helytelenül írták fel az úgynevezett technikát az URL meggyőzőbbé tétele érdekében.
Az Olasz Gyógyszerész Szövetség honlapja http://www.fofi.it/, a végrehajtható fájl pedig a hxxtp címen található: //www.fofl.it (kisbetűs „L” betűvel, „i” helyett). Vizuálisan hasonló domain használatával az áldozat kevésbé valószínű, hogy észreveszi, hogy valami nincs rendben. Még több taktika van arra, hogy a figyelmet távol tartsák a rosszindulatú tevékenységektől.
Az indítás után a rosszindulatú fájl térképet mutat az adatokkal, amelyekről úgy tűnik, hogy a Johns Hopkins University másolatát másolták. Ez egyáltalán nem új taktika, de szinte biztos, hogy figyelmen kívül hagyja az áldozatot, miközben a ransomware titkosítja a fertőzött PC fájljait.
Eddig úgy tűnik, hogy a támadást egy profi hacker indította el, aki tudja, mit csinál. Amikor a szakértők felvágták a váltságdíjas szoftvert, és meglátták, hogyan működik, rájöttek, hogy a támadó valószínűleg nem olyan kifinomult.
Az Unicorn ransomware nem jelent kifinomult fenyegetést
A kutatók azt gyanítják, hogy a támadó olasz. Nyilvánvalóan hiányzik a nyelvtani hibák az adathalász e-mailben, és a kódban maradt néhány elem azt sugallja, hogy a rosszindulatú szoftvert írt személyt Leonardo-nak hívják.
Úgy tűnik, hogy Leonardo a görög mitológia rajongója. A váltságdíjról szóló értesítés bejelenti, hogy az Asclepius munkatársainak kígyója ideges és új korszak érkezik. A fájlok titkosítását összehasonlítják a Prometheus tüzetével, és az áldozatnak azt mondják, hogy egy 300 eurós (kb. 330 dolláros) váltságdíj megfizetésével lehetőséget kapnak arra, hogy megválthassák magukat a „bűn és visszaélés éveiért”.
A váltságdíjjegy tartalmaz egy bitcoin-címet, ahova a pénzt el kell juttatni, és van egy e-mail cím, amelyet az áldozatoknak használniuk kell ahhoz, hogy kapcsolatba léphessenek a hackerekkel, amint a váltságdíjat kifizetik. Egy gyors ellenőrzés azt mutatja, hogy eddig a váltságdíj-jegyzetben szereplő bitcoin-cím nem regisztrált tranzakciókat, ugyanúgy, mert a hackerek e-mail címe érvénytelennek tűnik. Úgy tűnik, hogy Leonardo (vagy bárki, aki az Unicorn ransomware másik oldalán ül) egyáltalán nem szándékozik segíteni a fájlok visszaállításában.
Szerencsére nem igazán kell a segítségükre. A ransomware elemzése azt mutatja, hogy a fájlok visszafejtéséhez használt jelszó szöveges formában kerül elküldésre és letölthető a kommunikációs naplókból.
Az Unicorn ransomware hibái bizonyos mértékben kompenzálják az okos társasági tervezési technikákat, és a támadást egy kicsit kevésbé veszélyesvé teszik. A kampányt azonban nem szabad alábecsülni. A támadók bármikor válthatnak egy erősebb ransomware törzsre, és mindenféle problémát okozhatnak.
