偽のCOVID-19連絡先追跡アプリがUnicornランサムウェアを隠す
通常、攻撃からサイバー犯罪者について多くを知ることができます。彼らが使用するトリックは、敵がどれほど巧妙であるかをよく知らせますが、Unicornランサムウェアを配布している最近のキャンペーンは、見た目がだまされていることを証明しました。
Table of Contents
Unicornランサムウェアがイタリアの薬局にヒット
この攻撃は、JamesWTというニックネームのセキュリティ研究者によって最初に検出されました。これはイタリアの薬局を狙ったもので、COVID-19の危機を利用して、ユーザーをだましてUnicornと呼ばれる比較的新しいランサムウェアをインストールさせています。
F *** unicornとしても知られているこのマルウェアは、特にその目的のために作成されたようであり、攻撃はイタリアのComputer Emergency Response Team(CERT)からの助言を正当化するのに十分な大きさのようです。
ソーシャルエンジニアリングに関しては、ハッカー自身が勝っています
まず、イタリアの薬剤師連盟から送信されたと主張するメールから始まります。それは連邦が新しいコロナウイルスの拡散に関するリアルタイムのデータを提供するPCアプリのベータ版をローンチしていると言います。ダウンロードリンクがあり、ハッカーはタイポスクワッティングと呼ばれる手法を使用して、URLの説得力を高めています。
イタリアの薬剤師連盟のウェブサイトはhttp://www.fofi.it/で、実行可能ファイルはhxxtp://www.fofl.itでホストされています( "i"の代わりに小文字の "L"を使用)。視覚的に類似したドメインを使用することにより、被害者は何かが間違っていることに気付く可能性が低くなります。悪意のある活動から注意をそらすためのさらに多くの戦術があります。
起動すると、悪意のあるファイルは、ジョンズホプキンス大学からコピーされたように見えるデータを含むマップを表示します。これは決して新しい戦術ではありませんが、ランサムウェアが感染したPCのファイルを暗号化している間、被害者の注意をそらすことはほぼ確実です。
これまでのところ、攻撃は彼らが何をしているかを知っているプロのハッカーによって仕掛けられたようです。しかし、専門家がランサムウェアを分析してその動作を確認したところ、攻撃者はおそらくそれほど洗練されていないことに気付きました。
Unicornランサムウェアは洗練された脅威ではありません
研究者たちは攻撃者がイタリア人であると疑っています。フィッシングメールには文法上のエラーが明確に欠けており、コードに残っているいくつかのアーティファクトは、マルウェアを作成した人物がLeonardoと呼ばれることを示唆しています。
レオナルドはギリシャ神話のファンのようです。身代金ノートは、アスクレピオスのスタッフのヘビが動揺し、新しい時代が来ようとしていることを発表しました。ファイルの暗号化はプロメテウスの火と比較され、被害者は300ユーロ(約330ドル)の身代金を支払うことで、「長年の罪と虐待」と引き換える機会が与えられると言われています。
身代金メモには、お金が行くべきビットコインアドレスが含まれています。また、身代金が支払われたらハッカーに連絡を取るために被害者が使用する必要がある電子メールアドレスもあります。簡単なチェックにより、これまでのところ、身代金メモに含まれるビットコインアドレスはトランザクションを登録していません。これは、ハッカーの電子メールアドレスが無効であるように見えるためです。 Leonardo(またはUnicornランサムウェアの反対側に座っている人)は、ファイルを取り戻す手助けをするつもりはまったくないようです。
ありがたいことに、あなたは本当に彼らの助けを必要としません。ランサムウェアを分析すると、ファイルの復号化に使用されるパスワードはプレーンテキストで送信され、通信ログから取得できることがわかります。
Unicornランサムウェアの欠陥は、巧妙なソーシャルエンジニアリング手法をある程度補い、攻撃の危険性を少し減らします。ただし、キャンペーンを過小評価しないでください。攻撃者はいつでも、より強力なランサムウェアに切り替えて、あらゆる種類の問題を引き起こす可能性があります。