Malware doet zich voor als kaart coronaverspreiding

Coronavirus COVID-19 Global Cases by Johns Hopkins CSSE

Coronavirus COVID-19 Global Cases by Johns Hopkins CSSE

Met de uitbraak van de corona-pandemie proberen ook malwareschrijvers te profiteren. Op 2 maart 2020 om 16:21 UTC werd een nieuw malwaresample uitgerold, welke de Masad/Qulab-stealer en AZORult-stealer bevat en zich voordoet als de kaart die de verspreiding van het coronavirus in beeld brengt.

Gezien de actuele zorgen rondom het coronavirus is de kans dat ontvangers van deze mail op de kaart klikken redelijk groot. Wanneer de malware wordt uitgevoerd, kan de aanvaller de ontvanger bespioneren. De aanvaller ontvangt screenshots, inloggegevens, cookies en nog meer data, welke misbruikt kunnen worden om in te breken op websites. Ook wordt creditcarddata gestolen.

Het bestand wordt verspreid als Corona-virus-Map.com.exe.

Pad van infectie

Bij het starten van Corona-virus-Map.com.exe worden twee processen gelanceerd: corona-virus-map.com.exe voor een visuele weergave van de corona virus kaart; en corona.exe om de Masad/Qulab stealer te installeren en AZORult stealer te starten.

Visuals (corona-virus-map.com)

Bij het starten van de malware worden de visuals voor de coronaviruskaart geladen in een nieuw venster. De visuals komen rechtstreeks uit de arcgis.map website. De kaart is legitiem en is opgebouwd door Johns Hopkins en geeft weer hoe de Corona-situatie er aan toe is. De weergave moet als dekking dienen voor de malware en bevat zelf geen malafide functionaliteit.

Corona2

corona-virus-map.com.exe_ilspy

Malware installer (corona.exe)

corona.exe is een self-extracting archive (Winrar SFX) in de vorm van een executable.

Corona4

Corona5

Het bevat twee packed bestanden:

  • Corona.sfx.exe: installeert de stealer en start deze.
  • Corona.bat: Voert corona.sfx.exe uit.

Corona6

Corona.bat script

Corona.sfx.exe

Het corona.sfx.exe bestand is tevens een self extracting archive, ditmaal met een wachtwoord beveiligd. Het archief pakt de volgende bestanden uit:

  • Bin.exe: AZORult stealer
  • Build: Qulab stealer

Corona7

Bin.exe

Bin.exe wordt gedetecteerd als AZORult. De malware bevat de volgende functionaliteiten:

    • Stelen van inloggegevens uit webbrowsers, Outlook, FileZilla, WinSCP, Psi en Pidgin;
    • Stelen van cookies en form data uit webbrowsers;
    • Stelen van browsergeschiedenis uit webbrowsers;
    • Stelen van cryptomunten;
    • Stelen van Telegram-data;
    • Stelen van Steam-inloggegevens;
    • Screenshots maken;
    • Sporen verwijderen;

De malware maakt tevens een schermafbeelding op het moment dat deze gestart wordt. Al deze informatie wordt versleuteld naar de aanvaller gestuurd via http://coronavirusstatus[dot]space. Vervolgens verwijdert de malware zichzelf.

Build.exe

Het bestand kopiëert en hernoemt zichzelf naar Windows.Globalization.Fontgroups.exe, welke vervolgens de task scheduler DLL gebruikt om zichzelf als service te registreren. Opvallend genoeg laadt het proces de DLL dynamisch in en gebruikt deze  de reguliere task manager applicatie of andere uitvoerbare systeemsoftware niet. Het bestand is een compiled AutoIT-bestand.

task_scheduler

Windows.Globalization.Fontgroups.exe configuratie uit taakplanner.

Corona9

Windows.Globalization.Fontgroups.exe bestandinformatie.

Het bestand bevat een Russische bestandsomschrijving. Vanuit Google Translate wordt deze losjes vertaald naar het Engels als 'Performance Logs and Alerts'. De InternalName en OriginalFilename zijn echter Engels.

Windows.Globalization.Fontgroups.exe is een Masad/Qulab stealer welke Telegram gebruikt om zijn data te uploaden. De taak wordt iedere seconde uitgevoerd. Gestolen data wordt op deze manier continu aangevoerd.

Corona10

Stealer resultaten header

Wanneer de stealer geregistreerd is in de taakplanner, verbergt deze de map waarin het zich bevindt.

Corona

Build.exe wordt door andere onderzoekers ook wel de Qulab stealer of Masad stealer genoemd. In dit geval is de naam van de stealer ‘FiasskHard Work’. Volgens onderzoek van Juniper wordt de stealer op ondergrondse fora aangeboden. De stealer heeft een gratis versie, maar de kosten voor extra functionaliteit lopen op tot $85. Vermoedelijk heeft de auteur de malware gekocht en gebruikt in deze coronakaart-malware. De malware verzamelt volgens hetzelfde onderzoek de volgende gegevens:

    • Cryptocurrency Wallets
    • PC en systeeminformatie
    • Creditcard browserdata
    • Browser wachtwoorden
    • Autofillgegevens uit de browser
    • Browsercookies
    • Geinstalleerde software en processen
    • Bestanden op het bureaublad
    • Screenshots van het bureaublad
    • Bestanden van de Steam-gameclient
    • Discord en Telegrambestanden
    • FileZilla bestanden

Procesboom

Corona11

Impact

De samenstelling van dit malwarepakket zorgt ervoor dat geïnfecteerden continu bespioneerd worden. De gestolen data kan worden doorverkocht op ondergrondse marktplaatsen of direct misbruikt worden door een aanvaller. Autofill data bevatten doorgaans gebruikersnamen, wachtwoorden, telefoonnummers, adresgegevens en soms geboortedata, welke zijn opgeslagen bij bijvoorbeeld het plaatsen van een bestelling via een webshop of bij het aanmelden of registreren bij een website. Deze gegevems kunnen vervolgens misbruikt worden voor bijvoorbeeld identiteitsfraude. Ook kunnen criminelen simswapping-aanvallen uitvoeren en hiermee bijvoorbeeld whatsappfraude mee plegen. Voor bedrijven is de kans aanwezig dat aanvallers binnen kunnen dringen in een bedrijfsnetwerk en hierverdere aanvallen kunnen uitvoeren, zoals het uitrollen van ransomware.

Hoe de aanvaller de verzamelde gegevens misbruikt verschilt per actor; bovengenoemde impact behoort tot de mogelijkheden, maar zal niet altijd van toepassing zijn op uw situatie.

Hoe blijf ik veilig?

Zorg ervoor dat uw antimalwareproduct ten alle tijden up to date is. Sla daarnaast geen gegevens op in uw browser. Bij het inloggen op websites vragen browsers of u de gegevens wilt onthouden om de volgende keer makkelijker in te loggen. U kunt er voor kiezen om deze pop-up te negeren. Mocht u cryptowallets gebruiken, stel deze dan zo mogelijk veilig op een verwisselbaar medium zoals een USB-stick, bij voorkeur versleuteld. Plug de USB alleen in op het moment dat u toegang tot uw wallet wenst te hebben.

IOC's

corona12ioc

Corona13ioc