Фальшивое приложение для отслеживания контактов COVID-19 скрывает Unicorn Ransomware
Обычно о киберпреступниках можно многое рассказать по их атакам. Используемые ими приемы часто дают нам хорошее представление о том, насколько искушен противник, но недавняя кампания по распространению вымогателей Unicorn доказала, что иногда внешность может быть обманчива.
Table of Contents
Unicorn Ransomware поражает итальянские аптеки
Впервые атака была обнаружена исследователем безопасности под ником JamesWT. Похоже, что он нацелен прямо на итальянские аптеки, и он использует кризис COVID-19, чтобы обманом заставить пользователей установить относительно новый штамм вымогателей под названием Unicorn.
Также известное как F *** единорог, вредоносное ПО, по-видимому, было создано специально для этой цели, и похоже, что атака достаточно велика, чтобы получить рекомендацию Итальянской группы реагирования на компьютерные инциденты (CERT).
Хакеры превзошли самих себя, когда дело доходит до социальной инженерии
Он начинается с сообщения электронной почты, направленного из Итальянской федерации фармацевтов. В нем говорится, что Федерация запускает бета-версию приложения для ПК, которое в реальном времени предоставляет данные о распространении нового коронавируса. Там есть ссылка для скачивания, и хакеры использовали технику, называемую опечатывание, чтобы URL выглядел более убедительно.
Веб-сайт Итальянской федерации фармацевтов находится по адресу http://www.fofi.it/, а исполняемый файл размещен по адресу hxxtp: //www.fofl.it (со строчной буквой «L» вместо «i»). Используя визуально похожий домен, жертва с меньшей вероятностью заметит, что что-то не так. Есть еще больше тактик, чтобы отвлечь внимание от злонамеренных действий.
После запуска вредоносный файл отображает карту с данными, которые, похоже, были скопированы из Университета Джона Хопкинса. Это ни в коем случае не новая тактика, но она почти наверняка отвлечет жертву, пока вымогатель шифрует файлы зараженного компьютера.
Пока что похоже, что атака была предпринята профессиональным хакером, который знает, что они делают. Однако когда эксперты проанализировали вымогателей и увидели, как они работают, они поняли, что злоумышленник, вероятно, не настолько искушен.
Unicorn Ransomware не является сложной угрозой
Исследователи подозревают, что злоумышленник - итальянец. В фишинге электронной почты явно отсутствует грамматические ошибки, и некоторые артефакты, оставленные в коде, позволяют предположить, что человека, написавшего вредоносное ПО, зовут Леонардо.
Леонардо, кажется, фанат греческой мифологии. В записке с требованием выкупа сообщается, что змея на посохе Асклепия расстроена и что наступает новая эра. Шифрование файлов сравнивается с огнем Прометея, и жертве говорят, что, заплатив выкуп в 300 евро (около 330 долларов), они получают возможность искупить себя за «годы грехов и злоупотреблений».
В записке с требованием выкупа указан адрес биткойна, куда должны поступать деньги, а также адрес электронной почты, который жертвы должны использовать, чтобы связаться с хакерами после получения выкупа. Быстрая проверка показывает, что до сих пор в биткойн-адресе, включенном в записку с требованием выкупа, не было зарегистрировано ни одной транзакции, что также хорошо, потому что адрес электронной почты хакеров кажется недействительным. Похоже, что Леонардо (или тот, кто сидит на другой стороне вымогателя Unicorn) абсолютно не намерен помогать вам вернуть ваши файлы.
К счастью, вам не нужна их помощь. Анализ вымогателей показывает, что пароль, используемый для расшифровки файлов, отправляется в виде простого текста и может быть получен из журналов связи.
Недостатки Unicorn Ransomware в некоторой степени компенсируют умные методы социальной инженерии и делают атаку немного менее опасной. Однако кампанию нельзя недооценивать. В любой момент злоумышленники могут переключиться на более мощный тип вымогателей и вызвать всевозможные проблемы.
