Наразі зловмисники використовують ситуацію пов’язану з пандемією коронавірусу, як підхід соціальної інженерії направлений проти користувачів. У фішингових листах користувачам пропонується встановити додаток, який обіцяє надавати актуальну інформацію щодо епідеміологічного стану в світі. Як приклад, при запуску зловмисної програми CoronaMap.exe відображається інформація з онлайн карт щодо поширення коронавірусу, яка розміщена на сайті Університету Джона Хопкінса, а в прихованному режимі ініціюється запуск шкідливого програмного забезпечення, відомого як AZORult.
AZORult – шкідливе програмне забезпечення (далі – ШПЗ) типу «троянський кінь», призначене для збору різноманітної конфіденційної інформації користувача, такої як дані з месенджерів та браузерів, в тому числі файли cookie, ідентифікатори користувачів та пристроїв, паролі та інформація, що пов’язана з інтернет-банкінгом чи криптовалютами. Для ідентифікації при з’єднанні з командно-контрольним сервером використовуються дані про інфікований пристрій.
Фахівцями урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA проаналізовано інциденти пов’язані з даним способом отримання несанкціонованого доступу до інформації користувачів, способи розповсюдження, вектори зараження та методологію роботи ШПЗ та звіти про подібні інциденти.
Встановлено, що зловмисники поширюють ШПЗ за допомогою розсилки спам-повідомлень на електронні скриньки. Електронні листи зазвичай містять оманливий текст, що спонукає користувачів відкрити вкладені файли (наприклад – актуальна інформація, щодо розповсюдження коронавірусу в світі). Після завантаження та запуску вкладення користувачем виконується певний перелік команд, що дає змогу AZORult бути виконаним на цільовій системі.
Дерево процесів, що породжується під час запуску зловмисної програми CoronaMap.exe
Дане ШПЗ працює на всіх версіях Windows (від Windows XP до Windows 10, 32- та 64-bit), для запуску потребує Java будь-якої версії та за необхідності може її оновлювати, а також завантажувати додаткові компоненти ШПЗ, через що йому не потрібні MS Office та .NET.
Враховуючи вищезазначене, звертаємо особливу увагу представників державних органів та об’єктів критичної інфраструктури на те, що подібний підхід може використовуватись APT групами для розвідки, викрадення даних чи реалізації інших атак. Рекомендуємо провести відповідні інструктажі персоналу щодо розповсюдження фішингу.
Механізм ураження системи ускладнює видалення ШПЗ з інфікованих пристроїв, через що доцільніше відновити систему з резервної копії. Наголошуємо, що у випадках інфікування системи, крім видалення ШПЗ або відновлення системи, потрібно змінити паролі та інші дані, що використовуються для автентифікації.
Що робити?
- Встановити відображення електронних листів у форматі «звичайний текст», без вкладень чи активних елементів.
- Одразу видаляти підозрілі листи, не переходити за невідомими посиланнями.
- Не завантажувати та не запускати додатки з листів, які ви не очікували отримати.
- Перевіряти підозрілі файли на VirusTotal.
- Не встановлюйте програмне забезпечення з невідомих чи неперевірених ресурсів.
Корисні посилання:
-
Основні правила кібергігієни: https://cert.gov.ua/recommendations/21
- Як розпізнати фейк?: https://cert.gov.ua/recommendations/22
- Загальні рекомендації Державного центру кіберзахисту та протидії кіберзагрозам Держспецзв’язку для підвищення рівня захисту інформаційних ресурсів та систем і для запобігання кіберінцидентам в установах, на підприємствах і в організаціях: https://cert.gov.ua/files/pdf/Rec0301.pdf
- Служба, що перевіряє підозрілі файли та полегшує швидке виявлення вірусів, черв'яків, троянів і всіх видів шкідливих програм, визначуваних антивірусами: https://www.virustotal.com/
Хеш-значення деяких шкідливих файлів:
- 2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307 – Corona-virus-Map.com.exe
- f195f28ad0823fd6430b8999fb112bbecba81538b7eb28b88d0925ea4e8e5c95 – CoronaMap (AZORult Trojan)
- 63fcf6b19ac3a6a232075f65b4b58d69cfd4e7f396f573d4da46aaf210f82564 – CoronaMap (AZORult Trojan).