Investigadores da SonicWall descobriram um novo malware que está a tirar partido do atual surto de COVID19 para tornar os computadores inutilizáveis, substituindo o MBR (master boot record) em sistemas operativos Windows.
Infelizmente, este é apenas um dos muitos ataques realizados na tentativa de aproveitar a epidemia do COVID19 para fazer chegar malware a um maior número de vítimas.
“SonicWall Capture Labs Threat Research team recently found a new malware taking advantage of the CoViD19 pandemic which makes disks unusable by overwriting the MBR.” reads the analysis published by the experts.
Após a execução, o malware cria uma série de ficheiros auxiliares numa pasta temporária, incluindo um ficheiro BAT chamado “coronovirus Installer“, responsável pela maior do processo de infeção.
O ficheiro BAT cria uma pasta oculta chamada COVID-19 e, em seguida, move os ficheiro criados para dentro dessa diretoria.
Depois de concluído o processo de infeção, a vítima é notificada numa janela do terminal.
Este malware desativa o gestor de tarefas do Windows e o Controle de Acesso do Utilizador (UAC). Em seguida, altera a imagem de background da área de trabalho e desativa as opções que permitem ao utilizador adicionar ou modificar o fundo da área de trabalho.
O malware ganha persistência utilizando entradas no registo.
“run.exe creates a batch file named run.bat to ensure the registry modifications done by “coronavirus.bat” are kept intact besides facilitating execution of “mainWindow.exe”.” continues the analysis.
Uma vez a executar, o ficheiro MainWindow.exe apresenta uma janela apresentado a estrutura do vírus COVID19 com dois botões, “Remover vírus” e o botão “Ajuda”.
Se a vítima clicar no botão “Ajuda”, o malware informa que o computador foi infetado. Em contraste, o botão “Remover Vírus” não funciona.
Depois do sistema operativo reniciar, um binário é executado para substituir o MBR. O malware grava uma mensagem no setor 2 do disco com a mensagem “Created by Angel Castillo. Your Computer Has Been Trashed“.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.