ผู้โจมตีใช้ CoronaVirus Ransomware เพื่อปกปิด Kpot Password-Stealer
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Malware Hunter Team ตรวจพบ Ransomware ที่เรียกว่า CoronaVirus เผยแพร่ผ่านเว็บไซต์ WiseCleaner ในแคมเปญนี้ผู้โจมตีจะใช้ประโยชน์จากความสนใจในการแพร่ระบาดของโรค Coronavirus (COVID-19) โดยจะแฝงมัลแวร์ Coronavirus Ransomware และมัลแวร์ที่ชื่อว่า Kpot Password-Stealer ในการโจมตี
เว็บไซต์ WiseCleaner ถูกระบุว่าเป็นที่เเพร่กระจายไฟล์ชื่อ WSHSetup.exe ที่เป็นตัวดาวน์โหลดสำหรับทั้ง Coronavirus Ransomware และ Kpot Password-Stealer เมื่อดำเนินการติดตั้งโปรแกรมฯ จะพยายามดาวน์โหลดไฟล์หลายไฟล์จากเว็บไซต์ ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการวิเคาะห์ไฟล์ได้ดังนี้
- 'file1.exe' เป็นมัลแวร์ Kpot Password-Stealer เป็นมัลแวร์ที่มุ่งเน้นขโมยรหัสข้อมูลบัญชีจากเว็บเบราว์เซอร์ของเหยื่อเช่น E-mail, VPN, RDP, FTP, Cryptocurrency และซอฟต์แวร์เกม มัลแวร์ยังสามารถจับภาพ Screenshot Desktop ที่ใช้งานอยู่และทำการส่งกับไปหาผู้โจมตี
- 'file2.exe' คือ Coronavirus Ransomware มันจะทำการเปลี่ยนไฟล์ที่หลากหลายของเหยื่อเพื่อเข้ารหัสและจะถูกเปลี่ยนเป็นที่อยู่อีเมลของผู้โจมตี (เช่น test.jpg เป็น 'coronaVi2022 @ protonmail.ch___1.JPG') Ransomware จะเข้ารหัสในทุกๆ โฟลเดอร์และทิ้งโน้ตเรียกค่าไถ่ชื่อ CoronaVirus.txt ไว้บนเดสก์ท็อป ในโน้ตจะมีข้อความต้องการ Bitcoins 0.008 (~ $ 50) เพื่อถอดรหัสไฟล์ข้อมูลของเหยื่อและ Ransomware ยังเปลี่ยนชื่อ C: drive เป็น Coronavirus และเมื่อทำการรีบูตเครื่องจะแสดงหน้าจอล็อคพร้อมหมายเหตุเรียกค่าไถ่
ที่มา: securityaffairs
You must be logged in to post a comment.