Tội phạm mạng liên tục bám vào các mục tin tức thu hút sự chú ý của công chúng, nhưng thông thường chúng làm như vậy bằng cách giật gân chủ đề hoặc phát tán thông tin sai lệch về chủ đề đó. Tuy nhiên, gần đây, cybercrook đã bắt đầu phổ biến thông tin chính xác, theo thời gian thực về tỷ lệ lây nhiễm toàn cầu gắn liền với Vi-rút corona (COVID-19 đại dịch trong nỗ lực lây nhiễm phần mềm độc hại vào máy tính.
Ảnh chụp nhanh gần đây của bản đồ dữ liệu Johns Hopkins Coronavirus, có tại coronavirus.jhu.edu.
Trong một kế hoạch, bảng điều khiển tương tác về nhiễm trùng và tử vong do Coronavirus sản xuất bởi Đại học John Hopkins đang được sử dụng trong các trang Web độc hại (và có thể là email spam) để phát tán phần mềm độc hại đánh cắp mật khẩu.
Cuối tháng trước, một thành viên của một số diễn đàn tội phạm mạng bằng tiếng Nga đã bắt đầu bán một bộ lây nhiễm Coronavirus kỹ thuật số sử dụng bản đồ tương tác Hopkins như một phần của kế hoạch triển khai phần mềm độc hại dựa trên Java. Bộ này có giá 200 đô la nếu người mua đã có chứng chỉ ký mã Java và 700 đô la nếu người mua muốn chỉ sử dụng chứng chỉ của người bán.
“Nó tải [a] bản đồ trực tuyến hoạt động đầy đủ về các khu vực bị nhiễm Virus Corona và các dữ liệu khác,” người bán giải thích. “Bản đồ có thể thay đổi kích thước, tương tác và có dữ liệu thời gian thực từ Tổ chức Y tế Thế giới và các nguồn khác. Người dùng sẽ nghĩ rằng PreLoader thực sự là một bản đồ, vì vậy họ sẽ mở nó ra và sẽ lan truyền nó cho bạn bè của họ và nó được lan truyền mạnh mẽ! ”
Chuỗi bán hàng tuyên bố tải trọng của khách hàng có thể được đóng gói với bản đồ dựa trên Java thành một tên tệp mà hầu hết các nhà cung cấp Webmail cho phép trong các thư đã gửi. Người bán tuyên bố trong một video trình diễn rằng Gmail cũng cho phép điều đó, nhưng video cho thấy Gmail vẫn cảnh báo người nhận rằng việc tải xuống loại tệp cụ thể được đề cập (bị che khuất trong video) có thể gây hại. Người bán cho biết người dùng / nạn nhân phải cài đặt Java để bản đồ và khai thác hoạt động, nhưng nó sẽ hoạt động ngay cả trên các phiên bản Java được vá đầy đủ.
"Bộ tải tải các tệp .jar có bản đồ dữ liệu thời gian thực Coronavirus tương tác thực sự hoạt động và một trọng tải (có thể là một bộ tải riêng)", người bán cho biết trong video. “Trình tải chỉ có thể tải trước bản đồ và tải trọng sẽ được tải sau khi bản đồ được khởi chạy để hiển thị bản đồ nhanh hơn cho người dùng. Hoặc ngược lại tải trọng có thể được tải xuống trước và khởi chạy trước. ”
Không rõ người bán này đã có bao nhiêu người đăng ký, nhưng đầu tuần này, các chuyên gia bảo mật bắt đầu cảnh báo về các trang web độc hại mới đang được dựng lên sử dụng các phiên bản tương tác của cùng một bản đồ để đánh lạc hướng khách truy cập trong khi các trang web cố gắng tiếp tay cho hành vi đánh cắp mật khẩu AZORult phần mềm độc hại.
Chừng nào đại dịch này vẫn còn là tin tức trên trang nhất, những kẻ chuyên cung cấp phần mềm độc hại sẽ tiếp tục sử dụng nó làm mồi nhử để giăng bẫy những kẻ không cẩn thận. Hãy cảnh giác và tránh mở các tệp đính kèm được gửi không bị cấm trong email - ngay cả khi chúng dường như đến từ một người nào đó mà bạn biết.
tags: Azorult, Phần mềm độc hại coronavirus, Bản đồ về tình hình lây nhiễm vi-rút corona, Phần mềm độc hại COVID-19, Đại học Johns Hopkins
Nguồn: https://krebsonsecurity.com/2020/03/live-coronavirus-map-used-to-spread-malware/
