Fałszywa aplikacja do śledzenia kontaktów COVID-19 ukrywa jednorożec Ransomware
Zazwyczaj można powiedzieć wiele o cyberprzestępcach z ich ataków. Sztuczki, których używają, często dają nam dobre wyobrażenie o tym, jak wyrafinowany jest przeciwnik, ale niedawna kampania rozpowszechniająca oprogramowanie ransomware Unicorn dowiodła, że czasami wygląd może być mylący.
Table of Contents
Oprogramowanie ransomware Unicorn trafia do włoskich aptek
Atak został po raz pierwszy wykryty przez badacza bezpieczeństwa o pseudonimie JamesWT. Wydaje się, że jest skierowany wprost do włoskich aptek i wykorzystuje kryzys COVID-19, aby oszukać użytkowników do zainstalowania stosunkowo nowego szczepu ransomware o nazwie Unicorn.
Znane również jako jednorożec F ***, wydaje się, że złośliwe oprogramowanie zostało stworzone specjalnie w tym celu, i wygląda na to, że atak jest na tyle duży, aby uzasadnić poradę włoskiego zespołu reagowania na awarie komputerów (CERT).
Hakerzy prześcignęli się w inżynierii społecznej
Zaczyna się od wiadomości e-mail rzekomo pochodzącej z Włoskiej Federacji Farmaceutycznej. Mówi, że Federacja uruchamia wersję beta aplikacji na PC, która zapewnia dane w czasie rzeczywistym na temat rozprzestrzeniania się nowego koronawirusa. Istnieje link do pobrania, a hakerzy zastosowali technikę zwaną typosquatting, aby adres URL wyglądał bardziej przekonująco.
Witryna Włoskiej Federacji Farmaceutycznej to http://www.fofi.it/, a plik wykonywalny jest hostowany pod adresem hxxtp: //www.fofl.it (z małą literą „L” zamiast „i”). Korzystając z podobnej wizualnie domeny, ofiara ma mniejsze szanse zauważyć, że coś jest nie tak. Jest jeszcze więcej taktyk, aby odwrócić uwagę od złośliwej aktywności.
Po uruchomieniu szkodliwy plik wyświetla mapę z danymi, które prawdopodobnie zostały skopiowane z Johns Hopkins University. Nie jest to wcale nowa taktyka, ale prawie na pewno odwróci uwagę ofiary, gdy ransomware szyfruje pliki zainfekowanego komputera.
Jak dotąd wygląda na to, że atak został przeprowadzony przez zawodowego hakera, który wie, co robi. Gdy eksperci dokonali analizy oprogramowania ransomware i zobaczyli, jak działa, zdali sobie sprawę, że atakujący prawdopodobnie nie jest tak wyrafinowany.
Oprogramowanie ransomware Unicorn nie jest wyrafinowanym zagrożeniem
Naukowcy podejrzewają, że napastnikiem jest Włoch. W e-mailu phishingowym występuje wyraźny brak błędów gramatycznych, a niektóre artefakty pozostawione w kodzie sugerują, że osoba, która napisała szkodliwe oprogramowanie, nazywa się Leonardo.
Leonardo wydaje się być fanem mitologii greckiej. Nota o okupie informuje, że wąż na kosturach Asklepiosa jest zdenerwowany i że nadejdzie nowa era. Szyfrowanie plików jest porównywane z pożarem Prometeusza, a ofiara zostaje poinformowana, że płacąc okup w wysokości 300 EUR (około 330 USD), ma szansę wykupić się za „lata grzechów i nadużyć”.
Notatka z okupem zawiera adres bitcoin, na który powinny zostać przekazane pieniądze, a także adres e-mail, którego ofiary muszą użyć, aby skontaktować się z hakerami po zapłaceniu okupu. Szybka kontrola pokazuje, że do tej pory adres bitcoin zawarty w nocie okupu nie zarejestrował żadnych transakcji, co jest równie dobre, ponieważ adres e-mail hakerów wydaje się być nieprawidłowy. Wygląda na to, że Leonardo (lub ktokolwiek siedzi po drugiej stronie ransomware Unicorn) absolutnie nie ma zamiaru pomagać w odzyskaniu plików.
Na szczęście tak naprawdę nie potrzebujesz ich pomocy. Analiza oprogramowania ransomware pokazuje, że hasło użyte do odszyfrowania plików jest wysyłane zwykłym tekstem i można je odzyskać z dzienników komunikacji.
Wady ransomware Unicorn rekompensują do pewnego stopnia sprytne techniki inżynierii społecznej i sprawiają, że atak jest mniej niebezpieczny. Nie należy jednak lekceważyć tej kampanii. W dowolnym momencie osoby atakujące mogą przejść na silniejszą odmianę oprogramowania ransomware i powodować różnego rodzaju problemy.
