Mijara coronavirus îro hemî nûçeyên nûçeyan dagirtiye, û di heman demê de bûye laytmotîfa sereke ji bo çalakiyên cihêreng ên êrişkeran ku mijara COVID-19 û her tiştê ku pê ve girêdayî îstismar dikin. Di vê notê de, ez dixwazim balê bikişînim ser çend mînakên van çalakiya xirab, ku bê guman, ji bo gelek pisporên ewlehiya agahdariyan ne veşartî ye, lê kurteya ku di yek têbînî de dê hêsantir bike ku hûn haydariya xwe amade bikin. -Berbilindkirina bûyeran ji bo karmendan, ku hin ji wan ji dûr ve dixebitin û yên din ji berê bêtir ji metirsiyên cihêreng ên ewlehiya agahdariyan re têkildar in.
Deqeyek lênêrîna ji UFO
Cîhan bi fermî pandemiyek COVID-19 ragihand, enfeksiyonek potansiyel a giran a tîrêjê ya ku ji hêla SARS-CoV-2 coronavirus (2019-nCoV) ve hatî çêkirin. Li ser vê mijarê li ser Habré gelek agahdarî hene - her gav ji bîr mekin ku ew dikare hem pêbawer / bikêr be û hem jî berevajî.
Em we teşwîq dikin ku hûn ji her agahdariya ku hatî weşandin rexne bikin.
Çavkaniyên fermî
- Malper û komên fermî yên navendên operasyonê yên li herêman
Heke hûn li Rûsyayê ne dijîn, ji kerema xwe li ser malperên wekhev ên li welatê xwe binihêrin.
Destên xwe bişon, li hezkiriyên xwe miqate bin, heke gengaz be li malê bimînin û ji dûr ve bixebitin.Weşanên li ser bixwînin: |
Divê were zanîn ku îro metirsiyên bi tevahî nû yên ku bi coronavirus ve girêdayî ne tune. Belê, em behsa vektorên êrîşê dikin ku berê kevneşopî bûne, bi tenê di "sosek"ek nû de têne bikar anîn. Ji ber vê yekê, ez ê celebên sereke yên tehdîtan binav bikim:
- Malperên phishing û bultenên têkildarî coronavirus û koda xirab a têkildar
- Sextekarî û dezînformasyon bi mebesta îstismarkirina tirsê an agahdariya netemam di derbarê COVID-19 de
- êrîşên li dijî rêxistinên ku di lêkolîna coronavirus de beşdar in
Li Rûsyayê, ku hemwelatî bi kevneşopî ji rayedaran bawer nakin û bawer dikin ku ew rastiyê ji wan vedişêrin, îhtîmala ku bi serfirazî "pêşvebirina" malperên phishing û navnîşên nameyan, û her weha çavkaniyên xapînok, ji welatên ku vekirîtir in, pir zêde ye. zanê. Her çend îro tu kes nikare xwe bi tevahî ji sextekarên sîberê afirîner ên ku hemî qelsiyên mirovî yên klasîk ên kesek bikar tînin - tirs, dilovanî, çavbirçîtî, hwd.
Mînakî, malperek xapînok ku maskên bijîjkî difroşe bigirin.
Malperek bi vî rengî, CoronavirusMedicalkit[.]com, ji hêla rayedarên Dewletên Yekbûyî ve hate girtin ji ber belavkirina derziyek COVID-19 ya neheyî belaş bi "tenê" posteyê ji bo şandina derman. Di vê rewşê de, bi bihayek wusa kêm, hesab ji bo daxwaziya bilez a dermanê di şert û mercên panîkê de li Dewletên Yekbûyî bû.
Ev ne xetereyek klasîk a sîberê ye, ji ber ku di vê rewşê de peywira êrîşkaran ne ew e ku bikarhêneran vegirin an daneyên kesane an agahdariya nasnameya wan bidizin, lê tenê li ser pêla tirsê ye ku wan bi zorê bihêle û bi bihayên bihayan maskeyên bijîjkî bikirin. ji hêla 5-10-30 carî ji lêçûna rastîn zêdetir e. Lê ramana çêkirina malperek sexte ku mijara coronavirus bikar tîne jî ji hêla sûcdarên sîber ve tê bikar anîn. Mînakî, li vir malperek heye ku navê wê peyva sereke "covid19" heye, lê ew di heman demê de malperek fîşekirinê ye.
Bi gelemperî, rojane çavdêriya karûbarê meya lêpirsîna bûyerê dikin , hûn dibînin çend domain têne afirandin ku navên wan peyvên covid, covid19, coronavirus, hwd hene. Û gelek ji wan xerab in.
Li hawîrdorek ku hin xebatkarên pargîdaniyê ji malê têne veguheztin bo xebatê û ew ji hêla tedbîrên ewlehiya pargîdanî ve nayên parastin, ji her demê girîngtir e ku çavdêriya çavkaniyên ku ji cîhazên mobîl û sermaseya karmendan têne gihîştin, bi zanebûn an bêyî wan. zanyarîn. Heke hûn xizmetê bikar nakin ji bo tespîtkirin û astengkirina van domên (û Cisco girêdana bi vê karûbar re naha belaş e), wê hingê bi kêmanî çareseriyên şopandina gihîştina Web-a xwe mîheng bikin da ku domên bi keywordên têkildar bişopînin. Di heman demê de, ji bîr mekin ku nêzîkatiya kevneşopî ya navnîşkirina domên reş, û hem jî karanîna databasên navûdengê, dikare têk biçe, ji ber ku domên xerab pir zû têne afirandin û tenê di 1-2 êrîşan de ne ji çend demjimêran dirêjtir têne bikar anîn - wê hingê êrîşkar derbasî qadên nû yên efemeral dibin. Pargîdaniyên ewlehiya agahdariyê bi tenê dem tune ku zû bingehên zanîna xwe nûve bikin û wan li hemî xerîdarên xwe belav bikin.
Êrîşkar berdewam dikin ku bi rengek çalak kanala e-nameyê bikar bînin da ku girêdanên phishing û malware di pêvekan de belav bikin. Bandora wan pir zêde ye, ji ber ku bikarhêner, dema ku nûçeyên bi tevahî qanûnî yên di derbarê coronavirus de distînin, her gav nikarin di hêjmara xwe de tiştek xirab nas bikin. Û dema ku hejmara mirovên vegirtî tenê zêde dibe, dê rêjeyek xetereyên weha jî tenê mezin bibe.
Mînakî, ev e ku mînakek e-nameyek phishing li ser navê CDC wusa xuya dike:
Li dû lînkê, bê guman, naçe malpera CDC, lê berbi rûpelek sexte ku têketin û şîfreya qurbanê dizîne:
Li vir mînakek e-nameyek phishing-ê ku tê texmîn kirin li ser navê Rêxistina Tenduristiyê ya Cîhanê ye:
Û di vê nimûneyê de, êrîşkar li ser vê yekê hesab dikin ku gelek kes bawer dikin ku rayedar pîvana rastîn a enfeksiyonê ji wan vedişêrin, û ji ber vê yekê bikarhêner bi kêfxweşî û hema hema bê dudilî li ser van celeb tîpan bi lînkên xirab an pêvekên ku tê guman kirin ku dê hemî razan eşkere bike.
Bi awayê, malperek weha heye , ku dihêle hûn nîşanên cihêreng bişopînin, mînakî, mirin, hejmara cixarekêşan, nifûsa li welatên cihê, hwd. Di malperê de her weha rûpelek ji bo coronavirus veqetandî heye. Û ji ber vê yekê gava ku ez di 16ê Adarê de çûm wê, min rûpelek dît ku ji bo bîskekê min guman kir ku rayedar rastiyê ji me re dibêjin (ez nizanim sedema van hejmaran çi ye, belkî tenê xeletiyek e):
Yek ji binesaziyên populer ên ku êrîşkar ji bo şandina e-nameyên wekhev bikar tînin Emotet e, yek ji xetereyên herî xeternak û populer ên van demên dawî. Belgeyên peyvan ên ku bi peyamên e-nameyê ve hatine girêdan dakêşanên Emotet hene, ku modulên nû yên xerab li ser komputera qurbaniyê bar dikin. Emotet di destpêkê de ji bo danasîna girêdanên bi malperên xapînok ên ku maskeyên bijîjkî difroşin, ku niştecîhên Japonyayê dikin armanc, hate bikar anîn. Li jêr hûn encama analîzkirina pelek xirab bi karanîna sandboxingê dibînin , ku pelan ji bo xirabiyê analîz dike.
Lê êrîşkar ne tenê şiyana destpêkirina di MS Word-ê de, lê di heman demê de di serîlêdanên din ên Microsoft-ê de jî bikar tînin, mînakî, di MS Excel de (bi vî rengî koma hacker a APT36 tevdigere), ji Hikûmeta Hindistanê pêşniyarên li ser şerkirina koronavirusê yên ku Crimson vedihewîne dişîne. CIRDON:
Kampanyayek din a xirab a ku mijara coronavirus bikar tîne Nanocore RAT e, ku dihêle hûn bernameyan li ser komputerên mexdûr ji bo gihîştina ji dûr ve saz bikin, lêdanên klavyeyê bigirin, wêneyên ekranê bigirin, bigihîjin pelan, hwd.
Û Nanocore RAT bi gelemperî bi e-nameyê tê şandin. Mînakî, li jêr hûn mînakek peyamek e-nameyê bi arşîvek ZIP-ya pêvekirî ya ku pelek PIF-ya îcrakar vedihewîne, dibînin. Bi tikandina li ser pelê îcrakar, mexdûr bernameyek gihîştina ji dûr ve (Amûra Têketinê ya Dûr, RAT) li ser komputera xwe saz dike.
Li vir mînakek din a parazîtek kampanyayê ya li ser mijara COVID-19 heye. Bikarhêner nameyek li ser derengiya radestkirinê ya gumanbar ji ber coronavirus bi fatûreyek pêvekirî bi dirêjkirina .pdf.ace distîne. Di hundurê arşîva pêçandî de naverokek çêker heye ku têkiliyek bi servera ferman û kontrolê re saz dike da ku emrên din werbigire û armancên din ên êrîşkar pêk bîne.
Parallax RAT xwedan fonksiyonek wusa ye, ku pelek bi navê "ezmanê CORONAVIRUS ê nû 03.02.2020/XNUMX/XNUMX.pif vegirtî" belav dike û bernameyek xirab saz dike ku bi servera fermana xwe re bi protokola DNS-ê re têkildar dike. Amûrên parastina pola EDR, mînakek ku ev e , û an jî NGFW dê alîkariya çavdêriya danûstandinên bi pêşkêşkerên fermanê bike (mînak, ), an amûrên çavdêriya DNS (mînak, ).
Di mînaka jêrîn de, malwareya gihîştina dûr li ser komputera mexdûrek hate saz kirin ku, ji ber hin sedemên nenas, di reklamê de kirîn ku bernameyek antivirus a birêkûpêk ku li ser PC-yê hatî saz kirin dikare li dijî COVID-19-a rastîn biparêze. Û paşê, kesek ket ber henekek wusa xuya.
Lê di nav malware de hin tiştên bi rastî ecêb jî hene. Mînakî, pelên henek ên ku xebata ransomware-ê dişibînin. Di yek rewşê de, beşa me ya Cisco Talos pelek bi navê CoronaVirus.exe, ku di dema darvekirinê de ekran asteng kir û demjimêrek dest pê kir û peyama "hemû pel û peldankên li ser vê komputerê jêbirin - coronavirus" dest pê kir.
Piştî ku jimartin bi dawî bû, bişkoka li jêrê çalak bû û dema hat pêxistin, peyama jêrîn derket holê, ku dibêje ev hemû henek e û ji bo bidawîkirina bernameyê divê hûn Alt+F12 bikirtînin.
Têkoşîna li dijî nameyên xerab dikare bixweber bibe, mînakî, bikar bîne , ku dihêle hûn ne tenê naveroka xirabker di pêvekan de bibînin, lê di heman demê de girêdanên phishing û klîkên li ser wan jî bişopînin. Lê tewra di vê rewşê de, divê hûn perwerdekirina bikarhêneran û bi rêkûpêk pêkanîna simulasyonên phishing û temrînên sîberê ji bîr nekin, ku dê bikarhêneran ji bo hîleyên cûrbecûr yên êrîşkaran ên ku li dijî bikarhênerên we têne armanc kirin amade bikin. Nemaze heke ew ji dûr ve û bi e-nameya xweya kesane bixebitin, koda xirab dikare bikeve nav tora pargîdanî an beşê. Li vir ez dikarim çareseriyek nû pêşniyar bikim , ku destûrê dide ne tenê perwerdehiya mîkro- û nano-karmendan li ser pirsgirêkên ewlehiya agahdariyê, lê di heman demê de ji wan re simulasyonên fîşekirinê jî organîze bike.
Lê heke ji ber hin sedeman hûn ne amade ne ku çareseriyên weha bikar bînin, wê hingê bi kêmanî hêja ye ku bi bîranîna xetereya fîşekirinê, mînakên wê û navnîşek rêzikên ji bo tevgera ewledar re şandinên birêkûpêk ji karmendên xwe re organîze bikin (ya sereke ev e ku êrîşkar xwe wek wan venaşêrin). Bi awayê, yek ji xetereyên gengaz ên heyî ev e ku nameyên fîşekirinê yên ku wekî nameyên rêveberiya we têne xuyang kirin, ku tê îdiakirin ku li ser qaîdeyên nû û prosedurên ji bo xebata dûr, nermalava mecbûrî ya ku divê li ser komputerên dûr werin saz kirin, hwd. Û ji bîr nekin ku ji bilî e-nameyê, sûcdarên sîber dikarin peyamberên tavilê û torên civakî bikar bînin.
Di vî rengî bernameya şandin an hişyarkirina hişyariyê de, hûn dikarin mînaka jixwe klasîk a nexşeyek enfeksiyona koronavirusê ya derewîn, ku mîna ya yek bû, têxin nav xwe. Zanîngeha Johns Hopkins. Ferq ev bû ku dema gihîştina malperek phishing, malware li ser komputera bikarhêner hate saz kirin, ku agahdariya hesabê bikarhêner dizî û ji sûcdarên sîber re şand. Yek guhertoya bernameyek weha jî ji bo gihîştina dûr a komputera mexdûr girêdanên RDP afirand.
Bi awayê, di derbarê RDP de. Ev vektorek din a êrîşê ye ku êrîşkar di dema pandemiya coronavirus de dest bi karanîna çalaktir dikin. Gelek pargîdan, dema ku diçin karê ji dûr ve, karûbarên wekî RDP bikar tînin, ku heke ji ber lezê bi xeletî were mîheng kirin, dikare bibe sedema ku êrîşkar hem li ser komputerên bikarhêner ên dûr û hem jî di hundurê binesaziya pargîdanî de biherikin. Digel vê yekê, tewra digel veavakirina rast jî, dibe ku pêkanînên RDP yên cihêreng xwedan qelsiyên ku dikarin ji hêla êrîşkaran ve werin bikar anîn hene. Mînakî, Cisco Talos di FreeRDP de gelek qelsî, û di Gulana sala borî de, di karûbarê Microsoft Remote Desktop de qelsiyek krîtîk CVE-2019-0708 hate vedîtin, ku hişt ku koda keyfî li ser komputera qurbanî were darve kirin, malware were destnîşan kirin, hwd. Li ser wê jî bultenek hat belavkirin , û, ji bo nimûne, Cisco Talos pêşniyarên ji bo parastina li dijî wê.
Mînakek din a îstismarkirina mijara coronavirus heye - xetereya rastîn a enfeksiyonê ya malbata mexdûr heke ew red bikin ku fidyeyê bi bitcoins bidin. Ji bo zêdekirina bandorê, ji bo dayîna girîngiya nameyê û afirandina hestek hêzdariya xercker, şîfreya mexdûr ji yek ji hesabên wî, ku ji databasên giştî yên têketin û şîfreyan hatî wergirtin, di metna nameyê de hate danîn.
Di yek ji mînakên li jor de, min ji Rêxistina Tenduristiyê ya Cîhanê peyamek phishing nîşan da. Û li vir mînakek din heye ku tê de ji bikarhêneran ji bo şerkirina COVID-19 arîkariya darayî tê xwestin (her çend di serî de di laşê nameyê de, peyva "DONATION" tavilê xuya dibe). Û ew ji bo parastina li dijî bitcoins alîkariyê dixwazin şopandina cryptocurrency.
Û îro gelek mînakên weha hene ku dilovaniya bikarhêneran bikar tînin:
Bitcoin bi awayek din bi COVID-19 ve girêdayî ye. Mînakî, nameyên ku ji hêla gelek hemwelatiyên Brîtanî yên ku li malê rûniştî ne û nikarin pereyan bi dest bixin bi vî rengî xuya dikin (li Rûsyayê nuha ev jî dê têkildar bibe).
Van nameyan wekî rojname û malperên nûçeyan ên naskirî têne mask kirin, bi derxistina pereyên krîptoyê li ser malperên taybetî dravê hêsan pêşkêş dikin. Bi rastî, piştî demekê, hûn peyamek werdigirin ku dravê ku we qezenç kiriye dikare ji hesabek taybetî re were kişandin, lê hûn hewce ne ku berî wê bacek piçûk veguherînin. Eşkere ye ku piştî wergirtina vî drav, xapînok di berdêlê de tiştek naguhezînin, û bikarhênerê dilpak pereyê veguheztin winda dike.
Metirsiyek din jî bi Rêxistina Tenduristiyê ya Cîhanê ve girêdayî ye. Hackeran mîhengên DNS yên routerên D-Link û Linksys, ku pir caran ji hêla bikarhênerên malê û karsaziyên piçûk ve têne bikar anîn, hack kirin, da ku wan beralî bikin malperek sexte û bi hişyariyek pop-up-ê ya li ser hewcedariya sazkirina sepana WHO, ku dê wan biparêze. bi nûçeyên herî dawî yên di derbarê coronavirus de nûve kirin. Wekî din, serîlêdanê bixwe bernameya xirabkar Oski, ku agahdariya dizîne, hebû.
Fikirek wusa bi serîlêdanek ku rewşa heyî ya enfeksiyona COVID-19 dihewîne ji hêla Android Trojan CovidLock ve tê bikar anîn, ku bi navgîniya serîlêdanek ku ji hêla Wezareta Perwerdehiyê ya Dewletên Yekbûyî, WHO û Navenda Kontrolkirina Epidemîk ve tê texmîn kirin "pejirandî" tê belav kirin ( CDC).
Gelek bikarhêner îro di nav xwe-izolkirinê de ne û, nexwazin an nikaribin xwarinê bixwin, bi aktîvî karûbarên radestkirinê ji bo xwarin, firotgeh an tiştên din, wek kaxezê destavê, bikar tînin. Êrîşkaran jî ji bo armancên xwe ev vektor bi dest xistine. Mînakî, ev e ku malperek xirab dixuye, mîna çavkaniyek rewa ya ku xwedan Canada Post e. Girêdana ji SMS-a ku ji hêla mexdûr ve hatî wergirtin rê dide malperek ku radigihîne ku hilbera hatî ferman kirin nikare were radest kirin ji ber ku tenê 3 $ winda ye, ku divê zêde were dayîn. Di vê rewşê de, bikarhêner ber bi rûpelek ve tê rêve kirin ku divê ew hûrguliyên qerta krediya xwe destnîşan bike ... digel hemî encamên paşerojê.
Di encamê de, ez dixwazim du mînakên din ên xetereyên sîber ên têkildarî COVID-19 bidim. Mînakî, pêvekên "COVID-19 Coronavirus - Nexşeya Zindî WordPress Plugin", "Grafikên Pêşbîniya Belavbûna Coronavirus" an "Covid-19" di nav malperan de bi karanîna motora populer a WordPress-ê têne çêkirin û ligel nîşandana nexşeyek belavbûna coronavirus, di heman demê de malwareya WP-VCD jî heye. Pargîdaniya Zoom, ku ji ber zêdebûna hejmara bûyerên serhêl, pir û pir populer bû, bi tiştê ku pispor jê re digotin "Zoombombing" re rû bi rû ma. Êrîşkar, lê bi rastî trollên pornoyê yên asayî, bi sohbetên serhêl û civînên serhêl ve girêdayî bûn û vîdyoyên cûrbecûr yên nebaş nîşan dan. Bi awayê, metirsiyek bi vî rengî îro ji hêla pargîdaniyên rûsî ve tê.
Ez difikirim ku piraniya me bi rêkûpêk çavkaniyên cûrbecûr, hem fermî û ne ew qas fermî, di derbarê rewşa heyî ya pandemiyê de kontrol dikin. Êrîşkar vê mijarê îstismar dikin, di derbarê coronavirus de agahdariya "dawî" pêşkêşî me dikin, tevî agahdariya "ku rayedar ji we vedişêrin." Lê tewra bikarhênerên asayî yên asayî di van demên dawî de bi şandina kodên rastiyên pejirandî ji "nas" û "heval" re gelek caran alîkariya êrîşkaran kirine. Psîkolog dibêjin ku çalakiya bi vî rengî ya bikarhênerên "alarmîst" ên ku her tiştê ku digihîje qada dîtina wan dişînin (nemaze di torên civakî û peyamnêrên tavilê de, ku mekanîzmayên parastinê li hember van tehdîdan nînin), dihêle ku ew xwe di şerê li dijî metirsiyek cîhanî û, tewra xwe wekî lehengên ku cîhanê ji coronavirus rizgar dikin hîs bikin. Lê, mixabin, nebûna zanyariyên taybetî rê li ber vê yekê vedike ku ev niyeta baş "her kesî ber bi dojehê ve dibe", xetereyên nû yên ewlehiya sîber diafirîne û hejmara qurbaniyan berfireh dike.
Bi rastî, ez dikarim bi mînakên tehdîdên sîber ên bi coronavirus ve girêdayî biçim; Digel vê yekê, sûcdarên sîber sekinî ne û her ku diçe bêtir rêyên nû peyda dikin da ku hewesên mirovan bikar bînin. Lê ez difikirim ku em dikarin li wir rawestin. Wêne jixwe zelal e û ji me re dibêje ku di demek nêzîk de rewş dê xirabtir bibe. Duh, rayedarên Moskowê bajarê deh mîlyon mirovî xistin bin tecrîdê. Rayedarên herêma Moskowê û gelek herêmên din ên Rûsyayê, her wiha cîranên me yên herî nêz ên li qada berê ya piştî Sovyetê jî heman tişt kirin. Ev tê wê wateyê ku hejmara mexdûrên potansiyel ên ku ji hêla sûcdarên sîber ve têne armanc kirin dê gelek carî zêde bibe. Ji ber vê yekê, hêja ye ku ne tenê stratejiya xweya ewlehiyê ji nû ve binirxînin, ya ku heya van demên dawî li ser parastina tenê tora pargîdanî an dezgehî bû, û binirxînin ka kîjan amûrên parastinê ji we re tune ne, lê di heman demê de mînakên ku di bernameya hişmendiya karmendê we de hatine dayîn jî bihesibînin, ku ev e. dibe beşek girîng a pergala ewlehiya agahdariyê ji bo xebatkarên dûr. YEK amade ne ku bi vê yekê alîkariya we bike!
PS. Di amadekirina vê materyalê de, materyalên ji pargîdaniyên Cisco Talos, Ewlekariya Tazî, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security û RiskIQ, Wezareta Dadê ya Dewletên Yekbûyî, çavkaniyên Bleeping Computer, Ewlekariya Affairs, hwd.
Source: www.habr.com