Eine gefälschte COVID-19-Kontaktverfolgungs-App verbirgt Unicorn Ransomware
Normalerweise kann man aus seinen Angriffen viel über einen Cyberkriminellen erzählen. Die Tricks, die sie verwenden, geben uns oft eine gute Vorstellung davon, wie raffiniert der Gegner ist, aber eine kürzlich durchgeführte Kampagne zur Verbreitung der Unicorn-Ransomware hat bewiesen, dass das Aussehen manchmal täuschen kann.
Table of Contents
Die Unicorn Ransomware kommt in italienische Apotheken
Der Angriff wurde zum ersten Mal festgestellt durch einen Sicherheitsforscher geht durch den Spitznamen JamesWT. Es scheint sich direkt an italienische Apotheken zu richten und nutzt die COVID-19-Krise, um Benutzer dazu zu verleiten, eine relativ neue Ransomware-Sorte namens Unicorn zu installieren.
Die Malware, auch als F *** -Einhorn bekannt, scheint speziell für diesen Zweck erstellt worden zu sein, und es sieht so aus, als ob der Angriff groß genug ist, um eine Empfehlung des italienischen Computer Emergency Response Team (CERT) zu rechtfertigen.
Die Hacker haben sich beim Social Engineering selbst übertroffen
Es beginnt mit einer E-Mail, die angeblich vom italienischen Apothekerverband stammt. Der Verband startet eine Beta-Version einer PC-App, die Echtzeitdaten zur Verbreitung des neuen Coronavirus liefert. Es gibt einen Download-Link, und die Hacker haben eine Technik namens Tippfehler verwendet, um die URL überzeugender aussehen zu lassen.
Die Website der Italian Pharmacist Federation lautet http://www.fofi.it/, und die ausführbare Datei wird unter hxxtp: //www.fofl.it gehostet (mit einem Kleinbuchstaben "L" anstelle eines "i"). Durch die Verwendung einer visuell ähnlichen Domäne bemerkt das Opfer weniger wahrscheinlich, dass etwas nicht stimmt. Es gibt noch mehr Taktiken, um die Aufmerksamkeit von böswilligen Aktivitäten fernzuhalten.
Nach dem Start zeigt die schädliche Datei eine Karte mit Daten an, die anscheinend von der Johns Hopkins University kopiert wurden. Es ist keineswegs eine neue Taktik, aber es ist fast sicher, dass das Opfer abgelenkt bleibt, während die Ransomware die Dateien des infizierten PCs verschlüsselt.
Bisher scheint der Angriff von einem professionellen Hacker gestartet worden zu sein, der weiß, was er tut. Als die Experten die Ransomware sezierten und sahen, wie sie funktioniert, stellten sie jedoch fest, dass der Angreifer wahrscheinlich nicht so hoch entwickelt ist.
Die Unicorn Ransomware ist keine hoch entwickelte Bedrohung
Die Forscher vermuten, dass der Angreifer Italiener ist. Es gibt einen deutlichen Mangel an Grammatikfehlern in der Phishing-E-Mail, und einige im Code verbleibende Artefakte deuten darauf hin, dass die Person, die die Malware geschrieben hat, Leonardo heißt.
Leonardo scheint ein Fan der griechischen Mythologie zu sein. Der Lösegeldschein kündigt an, dass die Schlange in Asclepius 'Stab verärgert ist und dass eine neue Ära bevorsteht. Die Verschlüsselung der Dateien wird mit dem Feuer von Prometheus verglichen, und dem Opfer wird mitgeteilt, dass es durch die Zahlung eines Lösegeldes von 300 Euro die Möglichkeit erhält, sich für "Jahre der Sünden und Missbräuche" einzulösen.
Der Lösegeldschein enthält eine Bitcoin-Adresse, an die das Geld gehen soll, und eine E-Mail-Adresse, die die Opfer verwenden müssen, um mit den Hackern in Kontakt zu treten, sobald das Lösegeld bezahlt ist. Eine schnelle Überprüfung zeigt, dass die in der Lösegeldnotiz enthaltene Bitcoin-Adresse bisher keine Transaktionen registriert hat. Dies ist auch gut so, weil die E-Mail-Adresse des Hackers ungültig zu sein scheint. Es sieht so aus, als ob Leonardo (oder wer auch immer auf der anderen Seite der Unicorn-Ransomware sitzt) absolut nicht die Absicht hat, Ihnen zu helfen, Ihre Dateien zurückzubekommen.
Zum Glück brauchen Sie ihre Hilfe nicht wirklich. Eine Analyse der Ransomware zeigt, dass das zum Entschlüsseln der Dateien verwendete Kennwort im Klartext gesendet und aus den Kommunikationsprotokollen abgerufen werden kann.
Die Fehler in der Unicorn-Ransomware gleichen die cleveren Social-Engineering-Techniken in gewissem Maße aus und machen den Angriff etwas weniger gefährlich. Die Kampagne sollte jedoch nicht unterschätzt werden. Die Angreifer können jederzeit zu einem leistungsstärkeren Ransomware-Stamm wechseln und alle möglichen Probleme verursachen.