Spameři používají zprávy ohledně Coronaviru k nasazení Keyloggeru

Hackeři používají informace o viru COVID-2019 jako zbraň, když se pokoušejí přimět lidi ke stahování malwaru, a mohou pak následně ukrást cenné informace z počítačů obětí.

Malware nasazený prostřednictvím infikovaných e-mailů a souborů není nic nového. Přesto hackeři potřebují návnadu, aby upoutali pozornost potenciálních obětí. A co je dnes lepší způsob, než těžit z pandemie a přesvědčit tak uživatele, aby otevírali infikované soubory?

Vědci zabývající se bezpečností, pozorovali šíření souboru s názvem „CoronaVirusSafetyMeasures_pdf“, s největší pravděpodobností ve formě e-mailových příloh. Jde v podstatě o RAT (remote access trojan), který funguje jako keylogger a registruje všechna stisknutí kláves.

Jak se obvykle u tohoto druhu malwaru stává, je příloha zřídkakdy koncem hry pro útočníka, nemluvě o tom, že hackeři nechtějí spustit ochranu koncového bodu. V tomto konkrétním případě je soubor jen jedním krokem k cíli.

Otevření příloh zahájí stahování šifrovaného binárního kódu, který stáhne dva soubory: „filename1.vbs“ a „filename1.exe“. Zapíše se do registru Windows, aby zajistil, že přežije restartování. V tomto okamžiku pravděpodobně funguje jako keylogger, registruje stisknutí tlačítek uživatelů a ukládá je do souboru. Data shromážděná malwarem jsou zasílána na server na adrese 66.154.98.108, amerického poskytovatele hostingu, který existuje od roku 2012.

Využití zajímavých témat jako je strach z coronaviru, je běžná metoda šíření malwaru, protože lidé s větší pravděpodobností otevřou e-mail nebo přílohu, pocházející z neznámých zdrojů. Doporučuje se použít bezpečnostní řešení, ale je také vhodné neotevírat e-maily od neznámých odesílatelů, zejména pokud se zdá, že má co do činění s epidemií coronaviru.