Cyberkriminelle haben eine gefälschte Landkarte zur Verbreitung des Coronavirus auf einer Website gestartet, um persönliche Informationen von einer in Panik geratenen Öffentlichkeit zu stehlen.
Die neue Website schließt sich einer wachsenden Zahl von Betrügereien an, die COVID-19 ausnutzen. Das beweist, dass der Welt zwar die Handdesinfektionsmittel ausgehen könnte, den Kriminellen aber nicht die neuen Möglichkeiten zur Ausnutzung menschlicher Angst und Neugier.
Landkarte zur Ausbreitung von Coronavirus stiehlt Informationen
Die Karte wurde über den Link corona-virus-map.com.exe des Reason Labs Forschers Shai Alfasi bei der Erledigung ihrer Arbeit gefunden. Den Opfern, die die Seite besuchen, wird eine Weltkarte gezeigt, auf der hervorgehoben wird, in welche Länder sich das Virus ausgebreitet hat, sowie Statistiken über die Anzahl der erfassten Todesfälle und Infektionen.
Um der gefälschten und böswilligen Karte eine zusätzliche Aura der Authentizität zu verleihen, haben Kriminelle sie so gestaltet, dass sie eine legitime COVID-19-Bedrohungskarte der Johns Hopkins University nachahmt, die in ähnlicher Weise die vom Virus betroffenen Länder zusammen mit den neuesten Statistiken zeigt.
„Die Malware hat eine grafische Benutzeroberfläche, die sehr gut und überzeugend aussieht“, so Alfasi.
Alfasi entdeckte E-Mails, die Links zu der gefälschten Karte enthielten. Opfer, die auf die Links klickten, aktivierten unwissentlich bösartige Software zum Informationsdiebstahl.
„Diese Technik ist ziemlich verbreitet. Ich bin schon einmal darauf gestoßen, und nachdem ich ein wenig herumgesucht hatte, entdeckte ich, dass diese Taktik des Informationsdiebstahls von einer Malware-Familie namens ‚AZORult‘ stammt, die 2016 zum ersten Mal in freier Wildbahn gesehen wurde“, sagte Alfasi.
AZORult wird üblicherweise in russischen Untergrundforen verkauft, um sensible Daten von einem infizierten Computer zu sammeln.
Die Malware kann verwendet werden, um den Browserverlauf, Cookies, ID/Passwörter, Krypto-Währung, Kreditkarteninformationen, die im Browser-Verlauf der Benutzer gespeichert sind, und vieles mehr zu stehlen. Es kann auch zusätzliche bösartige Software auf infizierte Computer herunterladen.
Im Laufe seiner Forschung beobachtete Alfasi die Malware „auf der Suche nach verschiedenen Krypto-Wallets wie Electrum und Ethereum“.
Alfasi beschrieb die Funktionsweise der Malware: „Wenn das Opfer infiziert wird, extrahiert die Malware Daten und erstellt eine eindeutige ID der Arbeitsstation des Opfers. Dann wendet sie eine XOR-Verschlüsselung unter Verwendung der erzeugten ID an. Diese ID wird zur Kennzeichnung der Arbeitsstation verwendet, um die C2-Kommunikation zu starten.
„Der C2-Server antwortet mit Konfigurationsdaten, die die Namen der Ziel-Webbrowser, Webbrowser-Pfadinformationen, API-Namen, Sqlite3-Abfragen und legitime DLLs enthalten.“
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.