A Brief History of COVID-19 Related Attacks, Pt. 1

Pendant que le monde jongle entre les quarantaines volontaires, les isolements obligatoires, la distanciation sociale et les décrets de confinement, les cybercriminels s’activent à créer des logiciels malveillants et autres cyberattaques qui exploitent la peur liée à la nouvelle épidémie de coronavirus (COVID-19).

« Plus que jamais, les gens doivent être fortement sensibilisés aux interactions qu’ils ont en ligne, particulièrement avec les liens et les mails qu’ils ouvrent », a déclaré au Sun Terry Greer-King, vice-président de SonicWall. « Les cybercriminels font de leur mieux pour profiter des moments difficiles en incitant les utilisateurs à ouvrir des fichiers dangereux par l’intermédiaire de ce qu’ils considèrent comme des sources fiables. »

Alors que les chercheurs spécialistes en menaces des Capture Labs de SonicWall examinent et analysent en permanence toutes les menaces, l’équipe a signalé les principales cyberattaques qui exploitent le coronavirus et la COVID-19 pour tirer parti du comportement humain.

Fichier d’archive malveillant : 5 février 2020

Début février, les Capture Labs de SonicWall ont utilisé l’outil d’inspection approfondie de la mémoire en temps réel de SonicWall, Real-Time Deep Memory Inspection (RTDMITM) en instance de brevet pour détecter un fichier d’archive contenant un fichier exécutable intitulé CoronaVirus_Safety_Measures.exe. L’archive est envoyée sur la machine de la victime sous la forme d’une pièce jointe dans un e-mail.

Après avoir analysé le fichier exécutable, SonicWall a découvert que le fichier faisait partie de la famille GOZ InfoStealer, détectée pour la première fois par SonicWall RTDMI™ en novembre 2019.

GOZ InfoStealer est connu pour dérober les données de l’utilisateur dans les applications installées, ainsi que les informations du système de la victime, qui sont ensuite envoyées à l’auteur de la menace en utilisant le protocole SMTP (Simple Mail Transfer Protocol).

L’auteur du logiciel malveillant met continuellement à jour le code malveillant et modifie sa chaîne de contamination. Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Threat Actors Are Misusing Coronavirus Scare To Spread Malicious Executable. » (Les créateurs de logiciels malveillants exploitent la peur du coronavirus pour propager leurs créations malveillantes)

Cheval de Troie d’accès à distance Android sur le thème du coronavirus : 26 février 2020

Les Capture Labs de SonicWall ont observé une tactique d’intimidation liée au coronavirus, utilisée dans l’écosystème Android sous la forme d’un cheval de Troie d’accès à distance, et qui est en fait un apk Android qui porte simplement le nom « coronavirus ».

Après l’installation et l’exécution, cet échantillon demande à la victime d’entrer à nouveau le code secret ou le motif sur l’appareil, et le dérobe tout en demandant à plusieurs reprises un accès aux capacités « d’accessibilité ».

En consultant la structure du code (ci-dessous), il devient évident qu’une certaine forme de compression/codage est utilisée dans cet échantillon. Les noms de classe semblent aléatoires, mais ont une structure en soi ; la plupart des noms de classe sont de longueur similaire et également aléatoires.

Lors de l’inspection des fichiers Manifest.xml, la plupart des activités listées ne sont pas disponibles dans le code décompilé. Cela indique que les fichiers de classe « réels » seront déchiffrés pendant l’exécution. C’est un mécanisme qui rend l’analyse du code et le verdict difficiles pour les outils automatisés.

Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Coronavirus-themed Android RAT on the Prowl. » (Un cheval de Troie d’accès à distance Android sur le thème du coronavirus rôde)

Les Capture Labs de SonicWall fournissent une protection contre ces menaces avec les signatures suivantes :

  • AndroidOS.Spyware.RT (cheval de Troie)
  • AndroidOS.Spyware.DE (cheval de Troie)

Scareware lié à la COVID-19 : 13 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont observé un logiciel malveillant tirant parti des craintes liées au coronavirus (COVID-19), également connu sous le nom de « scareware ». L’échantillon prétend être un ransomware en affichant une demande de rançon (illustrée ci-dessous). En réalité, il ne chiffre aucun fichier.

Pour effrayer la victime, plusieurs messages d’avertissement de sécurité s’affichent :

En fin de compte, le malware est bénin et espère que la peur et le comportement humain forcent les victimes à payer la rançon. Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « COVID-19 Hoax Scareware. » (Scareware lié à la COVID-19)

Les Capture Labs de SonicWall fournissent une protection contre cette menace grâce à la signature suivante :

  • GAV: Scareware.CoVid_A (cheval de Troie)

Une « campagne marketing » malveillante propage le cheval de Troie d’accès à distance Android : 14 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont découvert et analysé des sites Web de campagne malveillants qui servent actuellement (au moment de la publication de cet article) de chevaux de Troie d’accès à distance Android appartenant à la même famille découverte en février 2020 (voir ci-dessous).

Les cyberattaquants créent des sites Web qui diffusent de la désinformation sur le coronavirus (COVID-19), prétendant fournir des conseils pour « se débarrasser » du nouveau virus. Au lieu de cela, les sites attirent de nouvelles victimes via des liens de téléchargement.

SonicWall a trouvé deux variantes principales de cette stratégie, l’une en anglais et l’autre en turc. Toutes deux téléchargent le fichier apk nommé corona.apk lorsque la victime clique sur l’image Google Play.

Lors du téléchargement du fichier apk et de l’examen du code, SonicWall a trouvé une structure similaire à la variante décrite en février. Cet échantillon est un cheval de Troie d’accès à distance Android et peut effectuer un certain nombre d’opérations malveillantes, notamment :

  • Obtenir des informations sur l’appareil
  • Obtenir une liste des applications installées
  • Permettre de contrôler l’appareil à distance via TeamViewer
  • Voler le mot de passe Gmail et/ou le modèle de verrouillage
  • Enregistrer la frappe
  • Charger des fichiers
  • Voler des SMS, des contacts
  • Désactiver Play Protect

Il y a beaucoup de désinformation et de panique autour du coronavirus (COVID-19). Les Capture Labs de SonicWall répètent qu’il n’existe aucune application mobile capable de suivre les infections à coronavirus ou de pointer vers un vaccin. Veuillez faire preuve d’une extrême prudence.

Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Misinformation Related to Coronavirus Being Used to Propagate Malicious Android RAT. » (Désinformation liée au coronavirus utilisée pour propager un cheval de Troie d’accès à distance Android malveillant)

SonicWall Capture Labs provides protection against this threat with the following signatures:

  • AndroidOS.Spyware.RT (cheval de Troie)
  • AndroidOS.Spyware.DE (cheval de Troie)

Azorult.Rk à 12 couches : 16 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont trouvé un nouvel échantillon et une nouvelle activité pour le fichier binaire « coronavirus » Azorult.Rk. Les auteurs de logiciels malveillants ont profité du désir du public d’obtenir des informations sur la pandémie de COVID-19 depuis sa découverte en décembre 2019, et la situation n’a fait que s’aggraver depuis.

Azorult.Rk se présente comme une application d’aide au diagnostic, incluant même la capture d’écran d’un outil interactif populaire qui cartographie les cas et l’exposition au COVID-19. Il comprend 12 couches différentes d’informations statiques et dynamiques, ce qui rend difficile pour les analystes des menaces de l’analyser rapidement. Cette analyse spécifique sert de base solide pour illustrer comment les auteurs de logiciels malveillants masquent leurs motivations et tactiques.

Après avoir isolé les couches, SonicWall a découvert que le logiciel malveillant avait finalement tenté de transmettre des statistiques et des indicateurs de mesure du matériel physique de la machine, ainsi que des noms d’utilisateur, des noms d’hôte et bien plus.

Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Coronavirus, COVID-19 & Azorult.Rk. »

Les Capture Labs de SonicWall fournissent une protection contre cette menace grâce à la signature suivante :

  • GAV: Azorult.RK

Ransomware lié au Coronavirus : 19 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont remarqué qu’un nouveau ransomware menace de tirer parti de la peur liée au coronavirus. Ce ransomware chiffre et compresse les fichiers puis les renomme ‘coronaVi2022@protonmail.ch__<filename>’. Il change ensuite le nom du lecteur en coronavirus et supprime coronavirus.txt dans chaque dossier du système infecté.

Après avoir modifié les clés d’enregistrement, il ajoute de nouvelles clés et affiche aux utilisateurs la demande de rançon suivante :

Au bout de 20 minutes, il redémarre la machine de la victime et affiche une autre demande de rançon.

Des détails supplémentaires pour cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Coronavirus Ransomware. » (Ransomware lié au Coronavirus)

Les Capture Labs de SonicWall fournissent une protection contre cette menace grâce aux signatures suivantes :

  • GAV: CoronaVirus.RSM_2
  • GAV : CoronaVirus.RSM

Solutions VPN pour les employés qui travaillent à distance

Pour aider les organisations à mettre en œuvre de façon rentable la technologie VPN auprès du nombre croissant de leurs employés travaillant à distance, SonicWall rend disponibles ses produits et services d’accès à distance pour les clients nouveaux et existants à des tarifs très promotionnels. Nous offrons également des ensembles de solutions de sécurité importantes pour les nouveaux clients d’entreprises et de PME.

Cette offre spéciale ouvre gratuitement l’accès à Secure Mobile Access (SMA) pour les appliances virtuelles à l’échelle des entreprises et PME, et inclut également une réduction importante sur Cloud App Security et sur l’outil de protection des terminaux, Capture Client, en cas d’association avec SMA.

Ces ensembles ont été créés pour inclure tout le nécessaire pour assurer la protection des employés en dehors du réseau.

This post is also available in: Anglais Deutsch Espagnol

Dmitriy Ayrapetov on Twitter
Dmitriy Ayrapetov
Vice President, Platform Architecture | SonicWall
Dmitriy Ayrapetov is VP of Platform Architecture at SonicWall working to solve cybersecurity issues facing organizations around the world by helping to guide product development at SonicWall to tackle these growing problems. Dmitriy is also working on bringing SonicWall’s Real Time Deep Memory Inspection threat detection technology to broader markets. Prior to this position, Dmitriy held engineering roles and product management leadership roles at SonicWall. Before SonicWall, Dmitriy worked as a software engineer at several startups, one of which was acquired by SonicWall in 2005. As a cybersecurity expert, he speaks at industry conferences including RSA, Gartner Security Summit and is a regular voice with analysts, the press and SonicWall’s channel partners. Dmitriy holds an MBA from the Haas School of Business at U.C. Berkeley and a BA in Cognitive Science at U.C. Berkeley.
0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire