COVID-19 digunakan dalam berbagai kampanye berbahaya termasuk spam email, BEC, malware, ransomware, dan domain jahat. Karena jumlah mereka yang menderita terus bertambah ribuan, kampanye yang menggunakan penyakit ini sebagai daya tarik juga meningkat. Peneliti Trend Micro secara berkala mencari sampel untuk kampanye berbahaya terkait COVID-19. Laporan ini juga termasuk deteksi dari peneliti lain.
Penyebutan peristiwa terkini untuk serangan jahat bukanlah hal baru bagi aktor ancaman, yang berkali-kali menggunakan ketepatan waktu topik hangat, kesempatan, dan tokoh populer dalam strategi rekayasa sosial mereka.
Trend Micro Research pada 24 april 2020 ini menganalisis malware bertema coronavirus yang menimpa master boot record (MBR) sistem, membuatnya tidak bisa di-boot. Malware itu dirinci dalam laporan publik yang diterbitkan oleh lembaga cybersecurity Ceko (NUKIB). File malware memiliki "Penginstal Coronavirus" dalam deskripsi.
Ketika malware dijalankan, ia akan secara otomatis me-restart mesin dan kemudian menampilkan jendela bertema virus yang tidak dapat ditutup. Tombol keluar biasa di sisi kanan atas jendela tidak berfungsi.
Mengklik tombol "Bantuan" di kiri bawah akan memunculkan pesan pop-up yang memberitahukan bahwa pengguna tidak dapat memulai Task Manager. Tombol "Hapus virus" di kanan bawah tampaknya menawarkan solusi, tetapi berwarna abu-abu dan tidak dapat diklik. Tombol tetap tidak dapat diklik bahkan ketika terhubung ke internet.
Malware ini juga membuat folder tersembunyi bernama "COVID-19," yang berisi beberapa modul sekunder. Memulai ulang sistem secara manual akan mengeksekusi file biner lain dan menampilkan layar abu-abu yang ditunjukkan di bawah ini.
Malware mencadangkan MBR asli dan menempatkan teks "Dibuat oleh Angel Castillo. Komputer Anda Telah Terputus "di layar perangkat. Itu juga meninggalkan informasi kontak Discord, menyiratkan bahwa korban perlu berkomunikasi dengan peretas untuk menemukan solusi.
Ransomware biasanya memberikan rincian transfer dana kepada korban, dengan jumlah tertentu dan dompet cryptocurrency tempat korban menyimpan uang. Namun, studi kasus baru-baru ini menemukan bahwa banyak distributor malware telah menggunakan Discord untuk memberikan instruksi spesifik kepada para korban.
Banyak penyerang hanya menghapus MBR di awal proses, sehingga metode ini tampaknya terlalu rumit. File "Update.vbs," yang dijatuhkan oleh modul sekunder, memberikan petunjuk mengapa pembuatnya mendesain proses dengan cara ini. File VBS ini akan menampilkan kotak pesan yang menunjukkan bahwa pengguna akan memerlukan koneksi internet (kemungkinan ditampilkan dua menit setelah layar abu-abu muncul).
Lebih banyak langkah mungkin ditambahkan untuk membuat pengguna terhubung ke internet, mungkin karena korban perlu online agar MBR ditimpa. MBR tidak ditimpa selama rebooting manual ketika diuji di lingkungan offline yang tertutup.
Trend Micro Research juga menganalisis file HTA berbahaya bertema koronavirus, mungkin dari kelompok APW SideWinder. Berdasarkan pada infrastruktur komando dan kontrol dan hubungannya dengan tentara Pakistan, ada kemungkinan bahwa SideWinder menggunakan coronavirus sebagai umpan. SideWinder adalah grup aktif yang dikenal untuk menargetkan entitas militer; aktivitas terakhir mereka adalah pada bulan Januari ketika kami menemukan bukti bahwa mereka berada di belakang aplikasi berbahaya yang ditemukan di Google Play.
