Coronavirus-Malware nutzt globale COVID-19-Befürchtungen aus, um Computer zu infizieren und Daten zu stehlen

Dublin, Irland, 20. März 2020 - Als Corona sich weiterhin rasch verbreitet, befürchten Internet - Nutzer mit dem Virus in Kontakt zu kommen und versuchen besorgt weitere Informationen über den Corona Ausbruch zu bekommen. Cyberkriminelle nutzen die Pandemie des Coronavirus (COVID-19) aus um Malware zu verbreiten und jagen dabei den Ängsten schutzbedürftiger Menschen nach. Eine Reihe von Cyber-Angriffen und Malware-Stämme, die nach COVID-19 thematisiert wurden, haben in den letzten Tagen verschiedene Teile der Welt erfasst.

Es wird angenommen, dass eine fortgeschrittene persistente Bedrohung (Advanced Persistent Threat, APT)  hinter dem gezielten Angriff vom März 2020 steckte, der als "Vicious Panda" bezeichnet wurde und auch Coronavirus-Malware verbreitete. Bei dem Angriff "Vicious Panda" wurden Phishing-E-Mails verwendet, die an mongolische Regierungsinstitutionen gerichtet waren. Die E-Mails wurden mit RTF-Dateianhängen geliefert, die angeblich wichtige Informationen über Coronavirus enthielten. Das in den schädlichen RTF-Anhängen enthaltene Payload war eine Version des RoyalRoad-Malware-Tools. Das Tool wird häufig mit chinesischen Bedrohungsakteuren in Verbindung gebracht und nutzt die Schwachstellen des Gleichungseditors in MS Word.

Coronavirus-Malware nahm in kurzer Zeit viele verschiedene Formen an. Mitte März 2020 erschien in freier Wildbahn eine neue Ransomware namens CoronaVi2020. Die CoronaVi2020-Ransomware wird hauptsächlich über Spam-E-Mails und böswillige Anhänge verbreitet und verlangt ein relativ bescheidenes Lösegeld von 0,008 BTC (ca. 50 USD). Sie richtet sich anscheinend an reguläre Privatanwender anstelle von Unternehmen und staatlichen Institutionen. Die Ransomware betrifft die meisten gängigen Dateitypen, einschließlich Bilder, Datenbanken und Office-Dateien. Die betroffene Datein bekommen von der Ransomware als Anhang die E-Mail des Autors - coronaVi2022 [at] protonmail [dot] ch.

Die Coronavirus-Ransomware wurde auch zusammen mit dem Info-Stealer-Trojaner Kpot entdeckt. Eine bösartige Webseite verteilte eine ausführbare Datei mit dem Namen WSHSetup.exe, die praktisch ein Bundle war, das sowohl die Coronavirus-Ransomware als auch den Kpot-Trojaner enthielt. Kpot kann Kontoinformationen von einer Reihe von Webbrowsern, E-Mail-Konten, Cryptocurrency Wallets und Game Distribution-Clients abrufen.

Zusammen mit der Desktop-Ransomware CoronaVi2022 wurden Mobiltelefone von einer bösartigen App getroffen, die sich als Coronavirus-Tracker ausgab. Die mobile Malware verhielt sich mehr oder weniger wie Ransomware, sperrte das Telefon und verlangte Lösegeld in Höhe von 250 US-Dollar. Zum Glück, war die mobile Ransomware, trotz ihrer sehr bedrohlichen Nachrichten an das Opfer, eine unbedachte Angelegenheit. Sicherheitsforscher konnten einen fest codierten Universalschlüssel im Encryptor selbst finden. Jeder, der die Ransomware für den mobilen Coronavirus-Tracker erhalten hat, kann sein Telefon mit dem Code "4865083501" entsperren. Die Entdeckung wurde vom DomainTools-Sicherheitsforschungsteam gemacht.

Der plötzliche Anstieg der Coronavirus-Malware machte auch einige ältere Bedrohungen erneut aktuell. Der Info-Stealer AZORult, der in 2016 debütierte, sorgte erneut für Schlagzeilen nachdem er in einer gefälschten Online-COVID-19-Karte zur Verfolgung von Infektionen- und Sterblichkeitsraten verwendet wurde. Die reale Karte wird vom Wissenschafts- und Technikzentrum der Johns Hopkins University verwaltet und auf einer völlig anderen Domäne gehostet. Die böswillige Seite, auf der sich die gefälschte Karte befindete, hat das visuelle Stil des Originals perfekt kopiert, aber auch ein Payload namens "corona.exe" verteilt. Dieses Payload enthielt AZORult und, unter anderem, besorgte Opfersysteme für Kryptowährungs-Wallets und Steam-Konten. Die Domain, die die schädliche Online-Karte gehostet hat, wurde bereites entfernt.

Der beste Weg für Heimanwender sicher zu bleiben und ihre Systeme vor Coronavirus-Malware zu schützen, besteht darin, nur Dateien von vertrauenswürdigen Seiten herunterzuladen, niemals auf unerwünschte Links zu klicken und die Adressleiste des Browsers zu überprüfen um festzustellen ob die URL richtig geschrieben ist und zu den gewünschten Webseiten führt.

Angesichts der Tatsache, dass echte COVID-19-Fälle in einer Reihe neuer Länder exponentiell zunehmen, sollten Computerbenutzer erwarten, dass Hacker diese globale Gesundheitskrise weiterhin ausnutzen werden.

Über EnigmaSoft Limited

EnigmaSoft Limited ist ein sich in Privatbesitz befindendes irisches Unternehmen mit Niederlassungen und globalem Hauptsitz in Dublin, Irland. EnigmaSoft ist bekannt für die Entwicklung und den Vertrieb von SpyHunter, einem Anti-Malware-Softwareprodukt und -Dienst. SpyHunter erkennt und entfernt Malware, verbessert den Datenschutz im Internet und beseitigt Sicherheitsrisiken. Dazu richtet sich SpyHunter auf Fragen wie Malware, Ransomware, Trojaner, Rogue Anti-Spyware und anderen bösartigen Bedrohungen die Millionen von PC - Nutzern betreffen.