Νέα COVID-19 malware διαγράφουν αρχεία και επηρεάζουν το MBR του PC σας

By Digital Fortress 2 Απριλίου 2020, 12:44



Η πανδημία του COVID-19 έχει προκαλέσει πολλά προβλήματα σε όλο τον κόσμο. Τα σημαντικότερα από αυτά είναι η υγεία και η οικονομία. Ωστόσο, δεν πρέπει να ξεχνάμε και τους κακόβουλους hackers, που βρίσκουν ευκαιρία να κάνουν επιθέσεις, τώρα που υπάρχει αυτή η γενικότερη ανησυχία. Υπάρχουν για παράδειγμα, κάποια λογισμικά, που έχουν ονομαστεί COVID-19 malware, και καταστρέφουν τα συστήματα, είτε διαγράφοντας αρχεία είτε καθιστώντας απροσπέλαστο το master boot record (MBR) του υπολογιστή.

Έχουν εντοπιστεί τουλάχιστον πέντε διαφορετικά COVID-19 malware. Ορισμένα έχουν ήδη χρησιμοποιηθεί και έχουν μολύνει χρήστες, ενώ άλλα φαίνεται να έχουν δημιουργηθεί μόνο ως δοκιμές ή για πλάκα.

Το κοινό στοιχείο όλων αυτών των malware είναι ότι σχετίζονται με τον COVID-19 και στοχεύουν πιο πολύ στην καταστροφή των συστημάτων και λιγότερο στο οικονομικό κέρδος.

MBR-rewriting malware

Κάποια από τα πιο επικίνδυνα COVID-19 malware, που εντοπίστηκαν τον περασμένο μήνα, είναι δύο που καθιστούν απροσπέλαστο το master boot record (MBR) του υπολογιστή.

Σίγουρα χρειάστηκαν προηγμένες τεχνικές γνώσεις για τη δημιουργία αυτών των COVID-19 malware.

Το πρώτο MBR-rewriter ανακαλύφθηκε από έναν ερευνητή ασφαλείας και αναλύεται λεπτομερώς σε μια αναφορά από την SonicWall. Το malware έχει το όνομα COVID-19.exe και μολύνει έναν υπολογιστή σε δύο στάδια.

Στο πρώτο στάδιο, εμφανίζεται απλώς ένα ενοχλητικό παράθυρο, που οι χρήστες δεν μπορούν να κλείσουν, επειδή το COVID-19 malware έχει ήδη απενεργοποιήσει το Windows Task Manager.


Ενώ οι χρήστες ασχολούνται με αυτό το ενοχλητικό παράθυρο, το κακόβουλο πρόγραμμα σιωπηλά επηρεάζει το MBR. Στη συνέχεια, επανεκκινεί τον υπολογιστή και ξεκινάει το νέο MBR, αποκλείοντας τους χρήστες σε μια pre-boot οθόνη.

Οι χρήστες μπορούν τελικά να αποκτήσουν ξανά πρόσβαση στους υπολογιστές τους, αλλά θα χρειαστούν ειδικές εφαρμογές που θα χρησιμοποιηθούν για την ανάκτηση του MBR.


Ένα άλλο αντίστοιχο malware, που είναι ακόμα πιο εξελιγμένο, λέγεται “CoronaVirus ransomware“. Η κύρια λειτουργία του συγκεκριμένου COVID-19 malware είναι να κλέψει τους κωδικούς πρόσβασης από έναν μολυσμένο υπολογιστή και στη συνέχεια να μιμηθεί το ransomware για να εξαπατήσει τον χρήστη και να καλύψει τον πραγματικό σκοπό του.

Στην πραγματικότητα, δεν είναι ransomware. Απλά εμφανίζεται ως ransomware. Μόλις ολοκληρωθούν οι διαδικασίες κλοπής δεδομένων, το κακόβουλο λογισμικό μπαίνει σε μια φάση όπου επηρεάζει το MBR και μπλοκάρει τους χρήστες σε ένα ransomware μήνυμα, αποτρέποντας την πρόσβαση στους υπολογιστές τους. Οι χρήστες βλέπουν ένα σημείωμα που ζητά λύτρα και στη συνέχεια διαπιστώνουν ότι δεν μπορούν να έχουν πρόσβαση στους υπολογιστές τους. Επομένως, το τελευταίο πράγμα που σκέφτονται, είναι να ελέγξουν αν κάποιος έκλεψε τους κωδικούς πρόσβασης από τις εφαρμογές τους.


Σύμφωνα με τον ερευνητή ασφάλειας Vitali Kremez, το κακόβουλο λογισμικό περιείχε, επίσης, κώδικα που επέτρεπε τη διαγραφή αρχείων. Ωστόσο, δεν ήταν ενεργός στα δείγματα που ανέλυσαν.

Διαγραφή δεδομένων

Ωστόσο, οι ερευνητές ασφαλείας έχουν εντοπίσει και άλλα COVID-19 malware, που ειδικεύονται στη διαγραφή δεδομένων.

Το πρώτο εντοπίστηκε τον Φεβρουάριο. Το όνομα του κακόβουλου αρχείου είναι γραμμένο στα κινεζικά και πιθανότατα απευθύνεται σε Κινέζους χρήστες. Δεν είναι γνωστό αν έχουν πραγματοποιηθεί επιθέσεις ή αν γίνονται απλά δοκιμές.

Το δεύτερο εντοπίστηκε χθες. Ανέβηκε στο VirusTotal από κάποιον που βρίσκεται στην Ιταλία.

Οι ερευνητές θεωρούν ότι τα δύο malware δεν είναι πολύ αποτελεσματικά, καθώς έχουν λάθη και χρησιμοποιούν χρονοβόρες διαδικασίες για τη διαγραφή των αρχείων στα μολυσμένα συστήματα. Ωστόσο, αν χρησιμοποιηθούν σε επιθέσεις, μπορούν να “κάνουν τη δουλειά τους”.

LimeRAT Trojan: Διαδίδεται με τεχνική κρυπτογράφησης αρχείων Excel

By Pohackontas
1 Απριλίου 2020, 18:28

Μια νέα εκστρατεία διαδίδει το Trojan απομακρυσμένης πρόσβασης LimeRAT χρησιμοποιώντας μια παλιά τεχνική κρυπτογράφησης αρχείων Excel. Το LimeRAT είναι ένα απλό Trojan που έχει σχεδιαστεί για υπολογιστές Windows. Αυτό το malware μπορεί να εγκαταστήσει backdoors σε μολυσμένους υπολογιστές και να κρυπτογραφήσει αρχεία με τον ίδιο ακριβώς τρόπο όπως τα άλλα είδη ransomware, να προσθέσει υπολογιστές σε botnets και να εγκαταστήσει miners κρυπτονομισμάτων. 

Επιπλέον, το LimeRAT Trojan μπορεί να εξαπλωθεί μέσω συνδεδεμένων μονάδων USB, να απεγκατασταθεί εάν ανιχνευθεί μια εικονική μηχανή (VM), να “κλειδώσει” οθόνες και να κλέψει δεδομένα που αποστέλλονται στη συνέχεια σε ένα server εντολών και ελέγχου (C2) μέσω κρυπτογράφησης AES (Advanced Encryption Standard). Σε μια νέα εκστρατεία που ανακαλύφθηκε από την Mimecast, το Trojan εμφανίζεται ως payload σε έγγραφα Excel και διαδίδεται μέσω phishing μηνυμάτων. Οι ερευνητές ανέφεραν σε σχετική δημοσίευση στο blog της εταιρείας ότι τα έγγραφα Excel είναι μόνο για ανάγνωση – και όχι κλειδωμένα – καθώς το Excel τα κρυπτογραφεί χωρίς να απαιτεί από τους χρήστες να θέσουν κωδικό πρόσβασης.


Για να αποκρυπτογραφήσει το αρχείο, όταν ανοίξει, το Excel θα προσπαθήσει να χρησιμοποιήσει έναν ενσωματωμένο κωδικό πρόσβασης, το “VelvetSweatshop”, ο οποίος εφαρμοζόταν στο παρελθόν από τους προγραμματιστές της Microsoft. Εάν αυτό πετύχει, το Excel αποκρυπτογραφεί το αρχείο και επιτρέπει την εκκίνηση μακροεντολών και την έγχυση κακόβουλου payload, διατηρώντας παράλληλα το έγγραφο μόνο για ανάγνωση.

Συνήθως, εάν αποτύχει η αποκρυπτογράφηση μέσω του VelvetSweatshop, τότε οι χρήστες πρέπει να θέσουν κωδικό πρόσβασης. Ωστόσο, η λειτουργία που επιτρέπει μόνο την ανάγνωση ενός αρχείου παρακάμπτει αυτό το βήμα, μειώνοντας έτσι τα βήματα που απαιτούνται για να καταστεί δυνατή η πρόσβαση σε έναν υπολογιστή Windows. Σύμφωνα με τους ερευνητές, το πλεονέκτημα που έχει για έναν χάκερ η λειτουργία που επιτρέπει μόνο την ανάγνωση σε αρχεία Excel, είναι ότι δεν απαιτεί είσοδο χρήστη, ενώ το σύστημα του Microsoft Office δεν θα εμφανίσει κάποια προειδοποίηση παρά μόνο μία ειδοποίηση που θα λέει ότι το αρχείο είναι μόνο για ανάγνωση.

Η νέα εκστρατεία που έχει δημιουργηθεί για τη διάδοση του LimeRAT χρησιμοποιεί αυτή την τεχνική, η οποία πρωτοεμφανίστηκε το 2013 και παρουσιάστηκε σε μια διάσκεψη του Virus Bulletin. Επιπλέον, υπάρχει μία ευπάθεια που εντοπίζεται ως CVE-2012-0158, την οποία εκμεταλλεύονται οι χάκερς. Αξίζει να σημειωθεί ότι το θέμα αυτό έχει παρουσιαστεί πριν πολύ καιρό. Ωστόσο, η Sophos σημειώνει ότι οι χάκερς εξακολουθούν να εκμεταλλεύονται την εν λόγω ευπάθεια σε μια υπόθεση που θεωρείται “αξιοσημείωτη”. 

Η Mimecast αναφέρει ότι οι χάκερς χρησιμοποιούν επίσης ένα σύνολο άλλων τεχνικών, σε μια προσπάθεια να εξαπατήσουν τα συστήματα των χρηστών, κρυπτογραφώντας το περιεχόμενο του υπολογιστικού φύλλου για να κρύψουν την εκμετάλλευση και το payload. Τέλος, η Microsoft έχει ενημερωθεί ότι η εν λόγω ευπάθεια χρησιμοποιείται και πάλι.

Coronavirus ‘Financial Relief’ Phishing Attacks Spike

Author:Lindsey O'Donnell
April 1, 2020 3:48 pm


A spate of phishing attacks have promised financial relief due to the coronavirus pandemic – but in reality swiped victims’ credentials, payment card data and more.


Researchers are warning of an upward surge in social-engineering lures in malicious emails that promise victims financial relief during the coronavirus pandemic.

The slew of campaigns piggy-back on news of governments mulling financial relief packages, in response to the economic stall brought on by consumers social distance themselves. This latest trend shows cybercriminals continuing to look to the newest developments in the coronavirus saga as leverage for phishing campaigns, targeted emails spreading malware and more.

“These campaigns use the promise of payments by global governments and businesses (specifically financial institutions) aimed at easing the economic impact of the ongoing pandemic to urge users to click links or download files,” said Proofpoint researchers, in analysis released Wednesday.


One credential-phishing campaign has been spotted primarily targeting U.S. healthcare and higher-education organizations (as well as the technology industry, including information-security companies), with a message purporting to be from their payroll departments.

The emails, titled “General Payroll !” explain that the Trump administration “is considering” sending most American adults a check to help stimulate the economy.

“The Trump administration is considering sending most American adults a check for $1,000 as part of the efforts to stimulate the economy and help workers whose jobs have been disrupted by business closures because of the pandemic,” says the message. “All staff/faculty & employee include student are expected to verify their email account for new payroll directory and adjustment for the month of March benefit payment.”

Researchers said that these emails come with plenty of red flags, including their “crude design,” with clear grammatical and spelling errors as can be seen above. The messages also use a basic web page that’s clearly branded by a free website maker for its phishing landing page.

The message asks recipients to verify their email accounts through a malicious link (called the “MARCH-BENEFIT secure link”) that directs them to a phishing page. This phishing page then asks for their usernames, email addresses and passwords tied to their employee benefits.



Researchers pointed to similar phishing campaigns in Australia and the U.K. In Australia, a campaign was discovered using emails claiming to be from a major Australian newspaper and using the subject line, “Government announces increased tax benefits in response to the coronavirus.” These email messages contain a PDF attachment with an embedded URL that leads to a phishing page, where victims are asked to input their Microsoft OneDrive credentials.

In the U.K., a large email campaign was uncovered targeting manufacturing, technology, transportation, healthcare, aerospace, retail, energy, technology, business services and hospitality companies. The campaign emails claim to be from a major (unnamed) United Kingdom bank. It offers 300 Singapore dollars (approximately $210 USD) as financial support, and tells the recipient to “Start Here” to claim the money by clicking on a link. That then leads them to the attacker-controlled landing page that asks for their name, address and credit-card number.

Another, smaller campaign targets technology and IT organizations, purporting to be from the World Health Organization (WHO) and the International Monetary Fund (IMF). These emails, sent with a subject line of “COVID 19 : Relief Compensation,” tells recipients they have been “randomly selected to be compensated financially due to the outbreak of the COVID-19 Epidemic outbreak” and asks them to learn more by clicking on an fake Microsoft Excel-branded attachment that gathers emails and passwords.

Attackers continue to leverage coronavirus-themed cyberattacks as panic around the global pandemic continues – including malware attacks, booby-trapped URLs and credential-stuffing scams. Researchers warned that users should continue to be on the lookout for phishing emails playing into fears around the coronavirus pandemic.

Zeus Sphinx for instance was recently spotted joining the growing fray of COVID-19-themed phishing and malspam campaigns, using a government-assistance lure.

“The ongoing shift to coronavirus-themed messages and campaigns is truly social engineering at scale, and these recent payment-related lures underscore that threat actors are paying attention to new developments,” researchers said. “We anticipate threat actors will continue modifying their strategies as the news surrounding COVID-19 shifts.”

There's now COVID-19 malware that will wipe your PC and rewrite your MBR

Security researchers have discovered coronavirus-themed malware created to destroy users' computers.




By Catalin Cimpanu for Zero Day | April 2, 2020 -- 02:32 GMT (03:32 BST) | Topic: Coronavirus: Business and technology in a pandemic


With the coronavirus (COVID-19) pandemic raging all over the globe, some malware authors have developed malware that destroys infected systems, either by wiping files or rewriting a computer's master boot record (MBR).

With help from the infosec community, ZDNet has identified at least five malware strains, some distributed in the wild, while others appear to have been created only as tests or jokes.

The common theme among all four samples is that they use a coronavirus-theme and they're geared towards destruction, rather than financial gain.

MBR-rewriting malware

Of the four malware samples found by security researchers this past month, the most advanced were the two samples that rewrote MBR sectors.

Some advanced technical knowledge was needed to create these strains as tinkering with a master boot record is no easy feat and could easily result in systems that didn't boot at all.

The first of the MBR-rewriters was discovered by a security researcher that goes by the name of MalwareHunterTeam, and detailed in a report from SonicWall this week. Using the name of COVID-19.exe, this malware infects a computer and has two infection stages.


In the first phase, it just shows an annoying window that users can't close because the malware has also disabled the Windows Task Manager.

Image: SonicWall

While users attempt to deal with this window, the malware is silently rewriting the computer's master boot record behind their back. It then restarts the PC, and the new MBR kicks in, blocking users into a pre-boot screen.

Users can eventually regain access to their computers, but they'll need special apps that can be used to recover and rebuild the MBR to a working state.

Image: SonicWall

But there was a second coronavirus-themed malware strain that re-wrote the MBR. This one is a far more convoluted malware operation.

It posed as the "CoronaVirus ransomware" but it was only a facade. The malware's primary function was to steal passwords from an infected host and then mimic ransomware to trick the user and mask its real purpose.

However, it wasn't ransomware either. It only posed as one. Once the data-stealing operations ended, the malware entered into a phase where it rewrote the MBR, and blocked users into a pre-boot message, preventing access to their PCs. With users seeing ransom notes and then not being able to access their PCs, the last thing users would thing to do is to check if someone exfiltrated passwords from their apps.

Image: Bleeping Computer

According to analysis from SentinelOne security researcher Vitali Kremez and Bleeping Computer, the malware also contained code to wipe files on the user's systems, but this didn't appear to be active in the version they analyzed.

Furthermore, this one was also spotted twice, with a second version discovered by G DATA malware researcher Karsten Hahn, two weeks later. This time, the malware kept the MBR-rewriting capabilities but replaced the data wiping feature with a functional screen-locker.



Karsten Hahn@struppigel

At first this seems like a simple screenlocker, but it infects the MBR as well.
Same MBR as the Coronavirus ransomware found by @malwrhunterteam

The MBR is from a builder by someone called #WobbyChip. https://www.virustotal.com/gui/file/fba31181ed1957e81c452fa1e860414d3a2bd2da470074a32f196f873a37d9ad/detection …


40
6:00 PM - Mar 26, 2020
Twitter Ads info and privacy
24 people are talking about this
DATA WIPERS

But security researchers have spotted more than coronavirus-themed MBR-rewriters. They also spotted two data wipers.

Both were discovered by MalwareHunterTeam.

The first was spotted back in February. It used a Chinese file name, and most likely targeted Chinese users, although we don't have information if it was distributed in the wild or was just a test.

The second was spotted yesterday, and this one was found uploaded on the VirusTotal portal by someone located in Italy.

MalwareHunterTeam described both strains as "poor wipers" because of the inefficient, error-prone, and time-consuming methods they used to erase files on infected systems. However, they worked, which made them dangerous if ever spread in the wild.



MalwareHunterTeam@malwrhunterteam

"alcuni accorgimenti da prendere per il Covid-19\.zip" -> "Covid-19.exe" (60e9dfe954acf0b02a5b35f367cf36ae2bc9b12e02aa3085495c5d8c4c94611c) -> dropped "Covid-19.bat", which is a poor wiper...
Seen from Italy.
Not sure it worse if it was created as joke or seriously.@JAMESWT_MHT


7
7:23 PM - Apr 1, 2020
Twitter Ads info and privacy
See MalwareHunterTeam's other Tweets

It might seem weird that some malware authors create destructive malware like this, but it's not the first time that this happened. For every financially-motivated malware strain that security researchers discover, there's also one that was created as a joke, just for the giggles. Something similar happened during the WannaCry ransomware outbreak in 2017, when days after the original WannaCry ransomware encrypted computers all over the world, there were countless of clones doing the same thing for no apparent reason.

WinRAR: Κυκλοφόρησε η έκδοση 5.90 για Windows, Linux, Mac και Android

BySecNews 1 Απριλίου 2020



WinRAR: Κυκλοφόρησε η έκδοση 5.90 για Windows, Linux, Mac και Android: Το WinRAR 5.90 Final κυκλοφόρησε με πολλές βελτιώσεις επιδόσεων και διορθώσεις σφαλμάτων για τα λειτουργικά συστήματα Windows, Mac, Linux και Android.

Όσοι δεν το γνωρίζουν, το WinRar είναι ένα λογισμικό συμπίεσης και αποσυμπίεσης αρχείων από το RARLAB, το οποίο υποστηρίζει τις διανομές ARJ, BZIP2, CAB, GZ, ISO, JAR, LHA, RAR, TAR, UUE, XZ, Z, ZIP, ZIPX, 7z και 001.

Επίσης, υπάρχει και free trial του προγράμματος, δηλαδή μπορείτε να χρησιμοποιήσετε το WinRAR για συγκεκριμένο χρονικό διάστημα πριν το αγοράσετε.

Όπως ήδη αναφέραμε, το WinRAR 5.90 έρχεται με αρκετές βελτιώσεις στην απόδοση, όπως καλύτερη υποστήριξη της CPU και μεγαλύτερο αριθμό των threads. Παρακάτω θα δείτε αναλυτικά τις πιο σημαντικές αλλαγές οι οποίες υπάρχουν στη νέα έκδοση.
Μεγαλύτερη ταχύτητα συμπίεσης για επεξεργαστές με 16 και περισσότερους πυρήνες.
Υψηλότερη αναλογία συμπίεσης για τη μορφή RAR5.
Ο μέγιστος αριθμός των threads αυξάνεται από 32 στα 64. Η εντολή -mt μπορεί πλέον να πάρει τιμές από το 1 έως το 64.
Η παράμετρος “Multithreading” αντικαταστάθηκε από “Threads”. Εδώ μπορείτε να ορίσετε τον αριθμό των threads με τιμές από 1 έως τον αριθμό των threads που έχει ο επεξεργαστής σας.
Το WinRAR πλέον δείχνει το μέγεθος των συμπιεσμένων αρχείων.
Προστέθηκε πεδίο «Συνολικοί φάκελοι» στις παραμέτρους που εμφανίζονται από την εντολή “Info”.
Πλέον υπάρχει παράθυρο το οποίο εμφανίζει την πρόοδο και έχει κουμπί ακύρωσης για μορφές οι οποίες παίρνουν περισσότερο χρόνο. Π.χ: tar.gz και tar.bz2.
Δίνεται η δυνατότητα να αλλάζουμε το μέγεθος των παραθύρων.
Μεγάλη βελτίωση του αρχείου ανάκτησης μορφής RAR5.
Πλέον μπορεί να χρησιμοποιηθεί η εντολή ανάκτησης για αρχεία RAR5, χωρίς να εισάγουμε κωδικός.
Εάν δεν υπάρχει ο φάκελος της εντολής “Convert archives”, το πρόγραμμα προσπαθεί να τον δημιουργήσει. Αυτό δεν γινόταν στις παλαιότερες εκδόσεις του WinRAR.
Προστέθηκε υποστήριξη εξαγωγής για GZIP αρχεία.

Διορθωμένα σφάλματα:
Η εντολή “repair” η οποία έδειχνε ότι το αρχείο ανάκτησης δεν είναι έγκυρο, ενώ στη πραγματικότητα ήταν.
Το σφάλμα όπου το WinRAR αγνοούσε την επιλογή “quick open information” (αν αυτή ήταν “Do not add”) όταν αναζητούσε περιεχόμενα.
Η συντόμευση Ctrl+C πλέον λειτουργεί στο παράθυρο των σχολίων του αρχείου.
Το σφάλμα όπου το WinRAR αγνοούσε τη διαδρομή προορισμού στην επικεφαλίδα των αρχείων αν η επιλογή να δημιουργήσει ξεχωριστά έγγραφα για κάθε αρχείο ήταν ενεργή.