Les cybercriminels s’accrochent constamment aux informations qui captent l’attention du public, mais ils le font généralement en sensationnalisant le sujet ou en diffusant des informations erronées à son sujet. Récemment, cependant, les cybercriminels ont commencé à diffuser des informations précises et en temps réel sur les taux d’infection mondiaux liés au Coronavirus (COVID-19 pandémie dans le but d’infecter les ordinateurs avec des logiciels malveillants.
Un instantané récent de la carte de données du coronavirus Johns Hopkins, disponible sur coronavirus.jhu.edu.
Dans un schéma, un tableau de bord interactif des infections et des décès par coronavirus produit par Université John Hopkins est utilisé dans des sites Web malveillants (et éventuellement des courriers indésirables) pour propager des logiciels malveillants voleurs de mots de passe.
À la fin du mois dernier, un membre de plusieurs forums de cybercriminalité en langue russe a commencé à vendre un kit d’infection numérique par coronavirus qui utilise la carte interactive Hopkins dans le cadre d’un programme de déploiement de logiciels malveillants basé sur Java. Le kit coûte 200 $ si l’acheteur possède déjà un certificat de signature de code Java et 700 $ si l’acheteur souhaite simplement utiliser le certificat du vendeur.
« Ça charge [a] carte en ligne entièrement fonctionnelle des zones infectées par le virus Corona et d’autres données », explique le vendeur. « La carte est redimensionnable, interactive et contient des données en temps réel de l’Organisation mondiale de la santé et d’autres sources. Les utilisateurs penseront que PreLoader est en fait une carte, alors ils l’ouvriront et la diffuseront à leurs amis et ça deviendra viral !
Le fil de vente affirme que la charge utile du client peut être regroupée avec la carte basée sur Java dans un nom de fichier que la plupart des fournisseurs de messagerie Web autorisent dans les messages envoyés. Le vendeur affirme dans une vidéo de démonstration que Gmail l’autorise également, mais la vidéo montre que Gmail avertit toujours les destinataires que le téléchargement du type de fichier spécifique en question (masqué dans la vidéo) peut être préjudiciable. Le vendeur dit que l’utilisateur/la victime doit avoir installé Java pour que la carte et l’exploit fonctionnent, mais que cela fonctionnera même sur les versions entièrement corrigées de Java.
« Le chargeur charge les fichiers .jar qui ont une carte de données en temps réel interactive sur le coronavirus et une charge utile (peut être un chargeur séparé) », a déclaré le vendeur dans la vidéo. « Loader ne peut pré-télécharger que la carte et la charge utile sera chargée après le lancement de la carte pour afficher la carte plus rapidement aux utilisateurs. Ou vice versa, la charge utile peut être pré-téléchargée et lancée en premier.
On ne sait pas combien de preneurs ce vendeur a eu, mais plus tôt cette semaine, des experts en sécurité a commencé avertissement de nouveaux sites Web malveillants qui utilisaient des versions interactives de la même carte pour distraire les visiteurs pendant que les sites essayaient d’imposer le vol de mot de passe AZORult logiciels malveillants.
Tant que cette pandémie fera la une des journaux, les fournisseurs de logiciels malveillants continueront de l’utiliser comme leurre pour piéger les imprudents. Restez sur vos gardes et évitez d’ouvrir les pièces jointes envoyées spontanément dans les e-mails, même si elles semblent provenir de quelqu’un que vous connaissez.
Un coup de chapeau à @holdsecurity pour un avertissement sur cette offre de logiciels malveillants.