首页 - 天富娱乐科技新闻 - 首次出现利用“新型冠状病毒肺炎”的勒索病毒和短信蠕虫

首次出现利用“新型冠状病毒肺炎”的勒索病毒和短信蠕虫

发布时间:2020-03-27  分类:天富娱乐科技新闻  作者:dadiao  浏览:5



图1-5勒索页面

解锁前,用户需要根据勒索者提供的操作文件支付比特币以获取解锁密码。

操作文档地址:https://q * * y6 . be * * * acks.com/go/4286a004-62c6-43fb-a614-d90b58f133e5.



图1-6打开操作文档

操作文档显示威胁的比特币地址和邮箱:

比特币地址:18 Sykfkapeh天富tbvgVgVlvc6lz8b天富m 3 ru。

email:PHC 859 mge 638

inbo天富 . ru

Figure 1-7 Operation Document

幸运的是,解锁密码是硬编码的。如果用户的设备不幸感染了病毒,用户可以通过输入以下密码将其解锁。

解锁密码:4865083501。

图1-8锁定和解密密码

勒索软件的整个操作并不复杂。除了锁定用户的屏幕来勒索比特币,该程序没有其他恶意行为。投机性的威胁只是想利用“新冠状病毒”的热点来赚取巨额利润,并没有试图通过监控用户设备来窃取用户隐私信息。

2.短信蠕虫

威胁参与者在网站上发布了一个名为coro * * * * etymask.tk的恶意程序,域名为CORO * * * * Etymsk.tk。他们谎称使用该应用程序可以让用户购买安全面具。随着冠状病毒感染人数的持续上升,防护口罩的供应出现短缺。人们迫切需要储备大量的防护口罩,以确保出行安全。威胁者利用人们对防护面具的需求来诱使用户安装恶意程序。

图2-1蠕虫网站发送短消息

威胁参与者使用虚假客户数据来增强用户对应用程序的信任。

图2-2网站提供了虚假的客户数据

应用程序第一次运行时,它将请求阅读联系人和发送短信的许可。对用户来说,这是一个巨大的危险信号,用户应该立即卸载应用程序。

图2-3短信和联系权申请

然后要求用户点击封面下的按钮,用户可以购买高质量和便宜的防护口罩,然后跳转到网上销售口罩的网站。恶意软件可能会威胁受害者,要求受害者在线支付屏蔽费并窃取他的银行卡和信用卡信息,但我们在应用程序中没有发现任何此类功能。我们认为该应用程序仍处于早期阶段,该功能可能会在应用程序更新时添加。

link:https://MAS * * * o天富.com。

图2-4打开购买面具网站

应用程序检查是否发送了短信。如果没有,它将收集所有受害者的联系人,如下图所示:

图2-5收集联系人信息

在应用程序收集了所有的联系人后,它将通过下载链接向所有的联系人发送短信,以传播给更多的用户。

图2-6向用户联系人发送带有恶意程序链接的文本消息

文本消息:“使用掩码保护您自己的安全。点击此链接下载应用程序并订购您自己的mask -http://coro***fetymask.tk”。

图2-7文本消息内容

3.扩展阅读

恶意程序发送一条带有恶意下载链接的文本消息到受害者的联系人列表中,以便一遍又一遍地传播,这可能会给受害者造成严重的损失。此外,恶意程序仍处于早期阶段,其功能在后期可能会不断改进。

“Cerberus”早在2019年6月就在一个地下论坛租下了。它的作者声称,在租约开始之前,它已经私人经营了两年。他们还指出,木马代码完全是自己开发的,并不是基于其他木马。

恶意程序主要通过滥用访问* *服务的特权获取前台应用的包名,确定是否显示网络钓鱼覆盖窗口,并使用伪造的覆盖网页窃取用户登录凭证(例如但不限于:信用卡信息、银行凭证、邮件凭证)。

2020年后,地狱犬木马再次活跃起来,利用新冠状病毒的热点。特洛伊木马最初被伪装成名为“冠状病毒”的应用程序来执行间谍活动。在接下来的两个月里,Cerberus特洛伊木马在不同的网站上发布不同的恶意程序,诱使用户安装和使用新的冠状病毒。

关于技术分析,请参考影子安全实验室发表的文章:“冠状病毒”触发的移动安全事件。

其中,域名为coron * * * *的网站用土耳其语发布恶意程序。他们错误地声称应用程序可以实时更新病例数。用户可以通过程序提供的实时监控图表清楚地了解疫情的严重程度。



@

图3-2恶意程序在土耳其的分布

样本信息:



3.1Cerberus木马

@

Anubis不想失去一个利用新型冠状病毒热点来传播恶意程序的好机会。不久前,阿努比斯特洛伊木马试图通过网络钓鱼电子邮件传播病毒阿努比斯的新网络钓鱼活动。Anubis现在使用名为covid-19的应用程序进行网络间谍活动。

样本信息:

国外新型冠状病毒患者的数量正在增加,各国纷纷提高警惕。许多预防艾滋病协会的组织或个人想利用这种流行病来赚钱。面对疫情,各国人民应该保持冷静,相信他们的祖国将永远与我们同在。

幸运的是,目前在中国还没有发现相关的恶意程序。然而,不排除这些臭名昭著的木马程序不会针对国内用户。影子安全实验室将密切关注恶意程序的动态,实时向用户提供最新消息。希望用户也能提高他们的保护意识,不要随意安装应用程序或点击链接。

原始链接:https://www.anquanke.com/post/id/201598