宣传伪造的Corona Antivirus的站点正在利用当前的COVID-19大流行来宣传和分发恶意负载,该负载将通过BlackNET RAT感染目标计算机并将其添加到僵尸网络中。
Malwarebytes威胁情报团队和MalwareHunterTeam的研究人员分别在antivirus-covid19 [。]网站和corona-antivirus [。] com上找到了两个推广假冒防病毒软件的站点。
自从Malwarebytes报告以来,前者已被删除,但MalwareHunterTeam发现的那个仍处于活动状态,但其内容已更改,删除了恶意链接,并添加了捐赠链接以支持诈骗者的努力-破坏者警报,没有任何捐赠到现在为止。
该网站写道:“下载我们的AI Corona Antivirus以获得针对Corona COVID-19病毒的最佳保护。” “我们来自哈佛大学的科学家一直在进行特殊的AI开发,以使用手机应用程序对抗病毒。
最后但并非最不重要的一点是,恶意网站的制造商还提到了一个更新,该更新将为其假的防病毒软件添加VR同步功能:“我们在实验室中分析了电晕病毒,以使应用始终保持最新状态!不久,电晕防病毒VR同步将被执行!”
如果有人失败了,他们最终将从antivirus-covid19 [。] site / update.exe(现在链接断开)下载安装程序,如果启动,它将把BlackNET恶意软件部署到他们的系统上。
BlackNET会将受感染的设备添加到可以由其操作员控制的僵尸网络中:
•发起DDoS攻击
•将文件上传到受感染的计算机上
•执行脚本
•截屏
•使用内置键盘记录器(LimeLogger)收集击键
•窃取比特币钱包
•收集浏览器Cookie和密码。
Blacknet RAT被MalwareHunterTeam评定为“ skidware恶意软件 ”,它还能够检测是否正在VM中对其进行分析,并且根据c0d3inj3cT的分析,它将检查是否存在恶意软件研究人员常用的分析工具。
该恶意软件还具有bot管理功能,包括重新启动和关闭受感染的设备,卸载或更新bot客户端以及打开可见或隐藏的网页。
MalwareHunterTeam在3月6日发现了一个宣传这种假冒Corona Antivirus的网站,而Malwarebytes的威胁情报团队在今天发布的一份报告中发现了另一个网站。
在一些相关的新闻中,攻击者目前滥用HHS.gov的开放重定向,通过以冠状病毒为主题的网络钓鱼活动,将Raccoon信息窃取的恶意软件有效载荷传递到目标系统上。
这些正在进行的网络钓鱼攻击背后的参与者使用开放重定向链接到一个恶意附件,该附件提供了先前发现的VBS脚本,而Netwalker Ransomware背后的运营商正在使用该脚本来部署其有效负载。
世界卫生组织(WHO),美国网络安全和基础设施安全局(CISA),和美国联邦贸易委员会(FTC)都警告说,冠状病毒为主题的网络钓鱼和攻击的国家在全球各地针对潜在的受害者。
*编译:Domino
*来自:Bleeping