223期报告汇总
安天发布《利用疫情信息传播 KPOT 窃密木马分析报告》
 
     近日,安天 CERT 在梳理网络安全事件时发现一个利用疫情信息传播并且借助勒索软件掩盖窃密行为的 KPOT 窃密木马,该 KPOT 窃密木马的下载器主要通过钓鱼网站进行传播。

      该窃密木马下载器执行后,从远程网站下载两个文件,第一个下载文件为KPOT 窃密木马,执行后将窃取计算机上的重要信息,截取活动桌面,窃取加密货币钱包并回传到远程站点。第二个下载文件是一个名为 CoronaVirus 的勒索软件,执行后将加密计算机上的文件,在原文件 名 前 添 加“coronaVi2022@protonmail.ch___”,在计算机每个加密的文件夹和桌面上创建名为“CoronaVirus.txt”的勒索信,勒索信内容包含勒索说明、50 美金比特币的赎金金额和比特币地址等。CoronaVirus勒索软件运行后将 C:驱动器重命名为CoronaVirus,修改注册表值使计算机重启后显示跟勒索信相同的锁定屏幕。由于赎金金额较低等因素,推测 CoronaVirus勒索软件的目的是通过锁屏等操作掩盖KPOT 窃密木马窃取密码、Cookie、加密货币钱包等重要信息的行为。

      安天提醒广大用户,要提高网络安全意识,在日常工作中要及时进行系统更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址,不要轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的好习惯。确保所有的计算机在使用远程桌面服务时采取VPN 连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭。

      目前,安天追影产品已经实现了对该类恶意代码的鉴定;安天智甲已经实现了对该恶意代码的查杀。