Coronavirus Malware exploite les craintes du COVID-19 mondial d'infecter des appareils et de voler des données
Dublin, Irlande, le 20 Mars, 2020 - Comme coronavirus continue sa propagation rapide, les internautes ont peur d'entrer en contact avec le virus et anxieuse pour plus d' informations sur l'épidémie de coronavirus. Les cybercriminels profitent de la pandémie de coronavirus (COVID-19) et s'attaquent aux craintes des personnes vulnérables de propager des logiciels malveillants. Un certain nombre de cyberattaques et de souches de logiciels malveillants sur le thème de COVID-19 se sont propagées dans différentes parties du monde au cours des derniers jours.
Une menace persistante avancée (APT) serait à l'origine de l'attaque ciblée de mars 2020 baptisée "Vicious Panda'', qui propageait également des logiciels malveillants contre les coronavirus. L'attaque «Vicious Panda» a utilisé des e-mails de phishing ciblant les institutions gouvernementales mongoles. Les e-mails étaient accompagnés de pièces jointes au fichier RTF qui contiendraient prétendument des informations importantes sur le coronavirus. La charge utile contenue dans les pièces jointes RTF malveillantes était une version de l'outil malveillant RoyalRoad. Souvent associé aux acteurs chinois des menaces, l'outil utilise les vulnérabilités de l'éditeur d'équations dans MS Word.
Les logiciels malveillants de coronavirus ont pris de nombreuses formes différentes en peu de temps. À la mi-mars 2020, une nouvelle souche de ransomware est apparue dans la nature, nommée CoronaVi2020. Distribué principalement par le biais d'e-mails indésirables et de pièces jointes malveillantes, le rançongiciel CoronaVi2020 demande une rançon de 0,008 BTC (environ 50 USD) relativement modeste et semble viser les utilisateurs à domicile habituels plutôt que les entreprises et les institutions gouvernementales. Le ransomware affecte les types de fichiers les plus courants, y compris les images, les bases de données et les fichiers bureautiques, le ransomware ajoutant le courrier électronique de son auteur - coronaVi2022 [at] protonmail [dot] ch - devant les fichiers concernés.
Le rançongiciel Coronavirus a également été repéré avec le cheval de Troie info-stealer Kpot. Un site malveillant distribuait un exécutable nommé WSHSetup.exe qui était en fait un ensemble contenant à la fois le rançongiciel coronavirus et le cheval de Troie Kpot. Kpot peut extraire les informations de compte d'un certain nombre de navigateurs Web, de comptes de messagerie, de portefeuilles de crypto-monnaie et de clients de distribution de jeux.
Avec le rançongiciel de bureau CoronaVi2022, les téléphones ont été touchés par une application malveillante se faisant passer pour un traqueur de coronavirus. Le malware mobile a agi plus ou moins comme un rançongiciel, verrouillant le téléphone et demandant 250 $ de rançon. Heureusement, le ransomware mobile était un travail précipité malgré ses messages très menaçants à la victime. Les chercheurs en sécurité ont pu trouver une clé universelle codée en dur dans le casier lui-même. Toute personne qui a obtenu le rançongiciel mobile Coronavirus Tracker peut déverrouiller son téléphone en utilisant le code «4865083501». La découverte a été faite par l'équipe de recherche en sécurité de DomainTools.
Le pic soudain des logiciels malveillants contre les coronavirus a également rendu certaines menaces plus anciennes d'actualité. Le voleur d'informations AZORult qui a fait ses débuts en 2016 a de nouveau fait la une des journaux, après avoir été utilisé dans une fausse carte en ligne de suivi des infections et de la mortalité COVID-19. La vraie carte est maintenue par le centre de science et d'ingénierie de l'Université Johns Hopkins et est hébergée sur un domaine complètement différent. Le site malveillant hébergeant la fausse carte a parfaitement copié son style visuel, mais a également distribué une charge utile nommée "corona.exe'' qui contient AZORult et élimine les systèmes victimes pour les portefeuilles de crypto-monnaie et les comptes Steam, entre autres. Le domaine qui hébergeait la carte en ligne malveillante a été supprimé.
La meilleure façon pour les utilisateurs à domicile de rester en sécurité et de protéger leurs systèmes contre les logiciels malveillants coronavirus est de télécharger uniquement des fichiers à partir de sites de confiance, de ne jamais cliquer sur des liens non sollicités et de vérifier la barre d'adresse de leur navigateur pour voir si l'URL est correctement orthographiée et pointe à ce qu'ils attendent.
Les cas réels de COVID-19 commençant à croître de façon exponentielle dans un certain nombre de nouveaux pays, les utilisateurs d'ordinateurs devraient s'attendre à ce que les pirates continuent de profiter de cette crise sanitaire mondiale.
À propos d'EnigmaSoft Limited
EnigmaSoft Limited est une société irlandaise privée avec des bureaux et un siège mondial à Dublin, en Irlande. EnigmaSoft est surtout connu pour le développement et la distribution de SpyHunter, un produit logiciel et service anti-malware. SpyHunter détecte et supprime les logiciels malveillants, améliore la confidentialité sur Internet et élimine les menaces de sécurité - en résolvant les problèmes tels que les logiciels malveillants, les rançongiciels, les chevaux de Troie, les anti-logiciels espions malveillants et d'autres menaces de sécurité malveillantes affectant des millions d'utilisateurs de PC sur le Web.