Spamerzy używają koronawirusa by wdrożyć keyloggera

Epidemia związana z koronawirusem trwa i co gorsza każdego dnia możemy przeczytać o nowych zakażeniach na całym świecie. Niestety, są też osoby, które na tym ogólnoświatowym problemie chcą mieć korzyści. Mowa o hakerach, którzy za pomocą COVID-2019 chcą nakłonić użytkowników komputerów do pobrania złośliwego oprogramowania. Cel? Kradzież cennych informacji ze sprzętu ofiar.

Każdego dnia możemy doświadczyć ataków spamerów, którzy szukają sposobu na włamanie się do naszych komputerów. Wirusy rozprzestrzeniane za pomocą wiadomości e-mail w postaci załączonych plików nie są niczym nowym. Mimo to hakerzy cały czas próbują uzyskać dostęp do naszych danych. Aby zmniejszyć naszą czujność korzystają z… epidemii koronawirusa, który atakuje cały świat. W jaki sposób? To wręcz oczywiste. Eksperci do spraw bezpieczeństwa oprogramowania zaobserwowali rozprzestrzenianie się pliku o nazwie “CoronaVirusSafetyMeasures_pdf”, co można tłumaczyć jako sugestie dotyczące działań prewencyjnych mających na celu uniknięcie zarażenia COVID-2019. Oczywiście osoba, która będzie chciała uruchomić plik otworzy RAT droppera, czyli trojana umożliwiającego zdalny dostęp do oprogramowania. Działa on jako keylogger, który rejestruje wszystkie naciśnięcia klawiszy. Jak łatwo się można domyślić, zapisuje on także nasze hasła, które każdego dnia wpisujemy w formularzach do logowania, na przykład na łamach portalu bankowego.

Porady jak radzić sobie z koronawirusem z nieznanego źródła? Pod żadnym pozorem nie uruchamiaj załącznika!

Większość z nas korzysta z jakiegoś oprogramowania antywirusowego, nawet Windows Defender, który jest zainstalowany na praktycznie każdym komputerze. Dlatego też w pewnym stopniu jesteśmy oczywiście zabezpieczeni przed atakami. Rzecz jasna w takim przypadku po kliknięciu w taki plik nic złego by się nie wydarzyło. Tak zwany dropper to dopiero początek problemów związanych z atakiem, ponieważ plik ten uruchamia szereg kroków mających na celu właściwy atak na nasz komputer.

Przede wszystkim uruchomiony dropper rozpoczyna pobieranie zaszyfrowanego pliku binarnego. To powoduje pobranie dwóch plików: “filename1.vbs” oraz “filename1.exe”. Zachowują się w rejestrze systemu Windows, aby działać nawet po zresetowaniu komputera. Po tej operacji prawdopodobnie powinien już pracować keylogger, który ma na celu rejestrację wszystkich kliknięć na klawiaturze. Te dane zapisuje w pliku, który następnie wysyła do serwera na adres 66.154.98.108. Jest to amerykański dostawca hostingu, który działa od 2012 roku.

“Jak widzimy na powyższym przykładzie hakerzy zrobią wszystko, aby uzyskać dostęp do naszych danych. Jednym ze sposobów jest uśpienie naszej czujności. Niestety koronawirus, który rozprzestrzenia się w błyskawicznym tempie wcale nam nie pomaga w racjonalnym myśleniu. Chcemy uzyskać jak najwięcej informacji na temat tego, jak się uchronić przed COVID-2019, a to może nas niestety… zgubić. Dlatego też należy zachować czujność i nie uruchamiać plików pochodzących z nieznanych źródeł. Niezależnie, czy mówimy tutaj o wiadomościach e-mail, bannerach na stronach internetowych czy innych miejscach, do których niekoniecznie mamy zaufanie.” - sugeruje Mariusz Politowicz ekspert ds. bezpieczeństwa w Bitdefender