Essas pessoas mal intencionadas compram espaços em uma rede de anúncios para exibir malvertising (anúncios maliciosos), em sites. Agora, os cibercriminosos estão usando nomes de sites que parecem hospedar informações relacionadas ao coronavírus e, portanto, dando às operadoras de rede de publicidade a impressão de que não são informações maliciosas.
A campanha de publicidade mal intencionada hospeda um kit de exploração chamado Fallout, que tenta explorar as vulnerabilidades nas versões mais antigas do Internet Explorer, sem uma ação do usuário ou conhecimento de que algo está acontecendo, para instalar o Kpot v2.0, um ladrão de informações e senhas.
O kit de exploração Fallout existe desde 2018 e, na maior parte, tem como alvo usuários japoneses e sul-coreanos. Em 26 de março de 2020, as pessoas mal-intencionadas por trás da campanha registraram o domínio covid19onlineinfo[.]com e, desde então, alternaram os domínios nos quais o kit de exploração está hospedado, registrando cerca de seis domínios por dia, na tentativa de evitar detecções de antivírus.
O malvertising geralmente é hospedado em sites de streaming e aberto automaticamente em uma nova guia, quando o usuário clica no botão de reprodução para visualizar um vídeo. Quando um usuário com o Fallout EK visita um site que hospeda o malvertising e atende aos critérios de uso de uma versão desatualizada do Internet Explorer, o kit de exploração tenta obter acesso ao computador da vítima.
Ele tenta explorar uma vulnerabilidade no Adobe Flash Player (CVE-2018-15982, correção lançada em janeiro de 2019), que pode levar à execução arbitrária do código e uma vulnerabilidade de execução remota no mecanismo VBScript que afeta várias versões do Windows (CVE-2018-8174, correção lançada em maio de 2018). Isso pode causar uma falha no Internet Explorer, que é o único sinal de alerta que o usuário pode perceber.
Anteriormente, o kit de exploração infectou computadores com diversos ladrões de senhas e de informações sigilosas, e trojans bancários. Agora, ladrões de senhas e de informações sigilosas Kpot v2.0 estão sendo distribuídos. Ele tenta roubar dados básicos, como nome do computador, nome de usuário, endereço IP do Windows, software instalado no dispositivo, GUID da máquina e muito mais, enviando essas informações para um servidor de comando e controle.
Dessa forma, o malware passa a roubar senhas e outros arquivos. De acordo com os pesquisadores da `Proofpoint, que analisaram o malware Kpot, os seguintes comandos podem ser enviados pelo servidor de comando e controle ao malware:
Roubar cookies, senhas e dados de preenchimento automático do Chrome
Roubar cookies, senhas e dados de preenchimento automático do Firefox
Roubar cookies do Internet Explorer
Roubar vários arquivos de criptomoeda
Roubar contas do Skype
Roubar contas do Telegram
Roubar contas do Discord
Roubar contas Battle.net
Roubar senhas do Internet Explorer
Roubar contas do Steam
Tirar uma captura da tela
Roubar várias contas de clientes FTP
Roubar várias credenciais do Windows
Roubar várias contas de clientes Jabber
Auto remoção
Em 14 de abril de 2020, a Avast impediu 178.814 tentativas de ataques, visando 96.278 usuários em todo o mundo. Abaixo estão os principais países afetados.
País | Tentativas de Ataques Bloqueados | Números de usuários alvo |
Canadá | 37.342 | 12.496 |
Estados Unidos | 30.001 | 13.930 |
Japão | 17.306 | 8.438 |
Espanha | 15.484 | 9.609 |
Itália | 10.494 | 6.648 |
Austrália | 6.222 | 2.780 |
Brasil | 5.833 | 4.051 |
França | 5.813 | 4.183 |
Turquia | 3.900 | 2.568 |
Alemanha | 3.331 | 2.452 |