Der Malware-Angriff zielt speziell auf diejenigen ab, die nach kartografischen Darstellungen der Verbreitung von COVID-19 im Internet suchen, und bringt sie dazu, eine schädliche Anwendung herunterzuladen und auszuführen, die im Front-End eine Karte zeigt, die von der Johns Hopkins University stammt, aber im Hintergrund Computer kompromittiert.

Neue Bedrohung mit einer alten Malware-Komponente

Die neueste Bedrohung, mit der Informationen von unwissenden Opfern gestohlen werden sollen, wurde letzte Woche erstmals von MalwareHunterTeam entdeckt und wurde jetzt von Shai Alfasi, einem Cybersicherheitsforscher bei Reason Labs, analysiert.

Es handelt sich um eine als AZORult identifizierte Malware, eine im Jahr 2016 entdeckte schädliche Software, die Informationen abgreift. AZORult-Malware sammelt Informationen, die in Webbrowsern gespeichert sind, insbesondere Cookies, Browserverläufe, Benutzer-IDs, Kennwörter und sogar Kryptowährungsschlüssel.

Mit diesen Daten aus Browsern können Cyberkriminelle Kreditkartennummern, Anmeldeinformationen und verschiedene andere vertrauliche Informationen stehlen.

Berichten zufolge wird AZORult in russischen Untergrundforen als Werkzeug zum Sammeln sensibler Daten von Computern diskutiert. Es wird mit einer Variante geliefert, mit der auf infizierten Computern ein verstecktes Administratorkonto generiert werden kann, um Verbindungen über das Remotedesktopprotokoll (RDP) zu ermöglichen.

Probenanalyse

Alfasi liefert technische Details zum Studium der Malware, die in die Datei eingebettet ist, die normalerweise als "Corona-virus-Map.com.exe" bezeichnet wird. Es ist eine kleine Win32 EXE-Datei mit einer Nutzlastgröße von nur etwa 3,26 MB.

Durch Doppelklicken auf die Datei wird ein Fenster geöffnet, in dem verschiedene Informationen zur Verbreitung von COVID-19 angezeigt werden. Das Herzstück ist eine "Karte der Infektionen", ähnlich der von der Johns Hopkins University, einer legitimen Online-Quelle zur Visualisierung und Verfolgung gemeldeter Coronavirus-Fälle in Echtzeit.

Die Anzahl der bestätigten Fälle in verschiedenen Ländern wird auf der linken Seite angezeigt, während die Statistiken zu Todesfällen und Genesungen auf der rechten Seite angezeigt werden. Das Fenster scheint interaktiv zu sein, mit Registerkarten für verschiedene andere verwandte Informationen und Links zu Quellen.

Zu beachten ist, dass die ursprüngliche Coronavirus-Karte, die online von der Johns Hopkins University oder ArcGIS gehostet wird, in keiner Weise infiziert oder durch Hintertüren versehen ist und sicher besucht werden kann.

Die schädliche Software verwendet einige Packungsebenen zusammen mit einer Multi-Sub-Prozess-Technik, die es Forschern erschwert, sie zu erkennen und zu analysieren. Darüber hinaus wird ein Taskplaner verwendet, damit der Betrieb fortgesetzt werden kann.

Anzeichen einer Coronamap-Virusinfektion am Computer

Das Ausführen der Datei Corona-virus-Map.com.exe führt zur Erstellung von Duplikaten der Datei Corona-virus-Map.com.exe und mehrerer Corona.exe-, Bin.exe-, Build.exe- und Windows.Globalization.Fontgroups. exe-Dateien.

Öffnen Sie also auf keinen Fall eine diesbezügliche EXE-Datei. Sie wollen die Verbreitung des Coronavirus trotzdem sehen. Dann gehen Sie einfach auf Johns Hopkins University. Dort erfahren Sie online, welche Länder betroffen und welche Zahlen aktuell sind.

Weitere Informationen unter Reason-Blog und The Hacker News

Quelle: The Hacker News