行业新闻与博客

网络犯罪分子已经启动了一个假冒的冠状病毒威胁图网站，以从恐慌的公众那里窃取个人信息。

这个新站点加入了越来越多利用 COVID-19 的骗局，证明了尽管世界上可能没有足够的洗手液，但犯罪分子并没有用尽新的方法来利用人类的恐惧和好奇心。

原因实验室的  研究员 Shai Alfasi 通过链接 corona-virus-map.com.exe 发现了该地图正在做  脏活。访问该页面的受害者会看到一张全球地图，突出显示该病毒传播到的国家以及记录的死亡和感染数量的统计信息。

为了使伪造和恶意地图更具真实性，犯罪分子将其设计为模仿由约翰·霍普金斯大学创建的合法 COVID-19 威胁图，该图同样显示了受病毒感染的国家以及最新统计数据。  

Alfasi 说：“该恶意软件的图形用户界面看起来非常好并且令人信服。”

Alfasi 发现了包含伪造地图链接的电子邮件。单击链接的受害者在不知不觉中激活了恶意信息窃取软件。 

“这种技术非常普遍。我之前曾经遇到过这种技术，并且在进行了一些挖掘之后发现这种信息窃取策略来自名为'AZORult'的恶意软件家族，该恶意软件家族于 2016年在野外首次出现。”阿法西

AZORult 通常在俄罗斯地下论坛上出售，目的是从受感染的计算机中收集敏感数据。 

该恶意软件可用于窃取浏览历史记录，Cookie，ID / 密码，加密货币，用户浏览器历史记录中存储的信用卡信息等。它还可以将其他恶意软件下载到受感染的计算机上。 

在研究过程中，Alfasi 观察到该恶意软件“正在寻找不同的加密货币钱包，例如 Electrum 和 Ethereum”。

在描述恶意软件的工作方式时，Alfasi 说：“当受害者被感染时，恶意软件会提取数据并创建受害者工作站的唯一 ID。然后，它使用生成的 ID 进行 XOR 加密。此 ID 用于按顺序标记工作站开始 C2 通讯。 

“ C2 服务器以配置数据作为响应，其中包含目标 Web 浏览器名称，Web 浏览器路径信息，API 名称，SQLite3 查询和合法的 DLL。”

本文由机器译制：https://www.infosecurity-magazine.com/news/infostealing-coronavirus-threat/