Corona-Malware la nouvelle tendance pour voler vos données

Ce nouveau malware (Corona-virus-Map.exe) se fait passer pour une application de surveillance des cas d’infections du Coronavirus. En effet ce programme est en apparence un logiciel permettant de visualiser la carte d’infection du Coronavirus, il s’appuie sur la carte officielle (https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6) en intégrant des fonctionnalités de visualisation de navigateur comme on le voit sur la capture d’écran.

Investivation sur malware corona avec la solution EDR Nucleon Smart Endpoint

Mais ce programme intègre également un malware très connu sous le nom de AZORult. Ce malware a pour but de voler les informations dans le profil de votre navigateur.

On distingue dans la capture ci-dessous l’accès aux cookies et autres informations disponibles dans le profil du navigateur Google Chrome:

événement de sécurité chrome EDR Nucleon Smart Endpoint

Le malware effectue différents exports, ainsi qu’une capture d’écran, avant de tout envoyer dans une archive à son serveur command & control :

Identification des accès réseau du malware corona map avec EDR Nucleon Smart Endpoint

On constate que le programme malveillant envoi les informations sur un serveur aux Etats-Unis (coronavirusstatus.space), mais qu’il utilise également l’application telegram pour effectuer des communications :

EDR Nucleon Smart Endpoint world map

Ce malware utilise différentes techniques pour s’installer sur la machine ainsi que des techniques de persistances, au travers de l’outil d’investigation nous identifions facilement le flux d’exécution de l’attaque.

Process execution du malware corona map via EDR Nucleon Smart Endpoint

Informations sur les exécutables utilisés

bin.exe 

Type : PE32 executable (GUI) Intel 80386, for MS Windows
Size : 114 KB
md5 : c4852ee6589252c601bc2922a35dd7da
sha1 : 4c8a7c3dabf12748201c496525a37ec65577cbbb
sha256 : fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8 

Virustotal

%

Nucleon Smart Endpoint Machine learning

%

Build.exe, Windows.Globalization.Fontgroups.exe

Type :PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
Size : 1.34 MB
md5 : f6a5e02f46d761d3890debd8f2084d37
sha1 : d64ff51020046fb13aec3ed608ba499295caf80d
sha256 : 126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040

Virustotal

%

Nucleon Smart Endpoint Machine learning

%

Corona.exe 

Type : PE32 executable (GUI) Intel 80386, for MS Windows
Size : 2.23 MB
md5 : 27ad5971933d514c3a0e90fe2a0f0389
sha1 : b11ea20d95aaea2fde9bee0d7ac5eac0b81a839c
sha256 : 13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e

Virustotal

%

Nucleon Smart Endpoint Machine learning

%

Corona.sfx.exe 

Type : PE32 executable (GUI) Intel 80386, for MS Windows
Size : 2.05 MB
md5 : 3cb9fc1ee05f49438455ba1aea3bca4e
sha1 : 401431f0781b416f3e237e993b1a283b3a37613e
sha256 : 148520c746aee00d7330e8c639a0bcd576c9a431acb197e36f27529f5e897fb4

Virustotal

%

Nucleon Smart Endpoint Machine learning

%

Corona.exe

Type : PE32 executable (GUI) Intel 80386, for MS Windows
Size : 2.2 MB
md5 : 1beba1640f5573cbac5552ae02c38f33
sha1 : 6878e9825fad4696e48aca151e656a4581e3dc16
sha256 : 0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d

Virustotal

%

Nucleon Smart Endpoint Machine learning

%

Corona-virus-Map.com.exe  

Type : PE32 executable (GUI) Intel 80386, for MS Windows
Size : 3.26 MB
md5 : 73da2c02c6f8bfd4662dc84820dcd983
sha1 : 949b69bf87515ad8945ce9a79f68f8b788c0ae39
sha256 : 2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307

Virustotal

%

Nucleon Smart Endpoint Machine learning

%

Corona-virus-Map.com.exe

Type : PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
Size : 451 KB
md5 : 07b819b4d602635365e361b96749ac3e
sha1 : 7664716cc5097a97415c4d22ccb558dfcb139020
sha256 : 203c7e843936469ecf0f5dec989d690b0c770f803e46062ad0a9885a1105a2b8

Virustotal

%

Nucleon Smart Endpoint Machine learning

%

Nucleon Security, spécialiste de la cybersécurité qui redéfinie la protection des endpoints et la gestion de vulnérabilité grâce à sa plateforme Nucleon Smart Endpoint. Antivirus nouvelle génération (EDR) 100% français basé sur un agent unique, la plateforme Nucleon Smart Endpoint bloque les attaques, prévient les fuites de données et gère les vulnérabilités en combinant les technologies Multilayer Zero-Trust et l'Intelligence Artificielle.


"Passionné d'informatique depuis toujours aussi bien en réseau qu'en développement, je me spécialise rapidement en sécurité informatique. Je m'intéresse aux solutions de détection comme le « sandboxing » et les antivirus nouvelle-génération en travaillant sur différents projets de recherche et développement pour contourner les solutions de sécurité. Je me spécialise également sur les technologies et concept de « SOC » et de « SIEM » avant de m'intéresser à l'intelligence artificielle et de son application à la cybersécurité."

Antoine
Chercheur Cybersécurité 
Address

20, Rue Kleber
92320 CHATILLON

Contacts

team@nucleon-security.com
01 86 65 26 36