Get best of the week

COVID-19 का उपयोग कर साइबर हमले



कोरोनावायरस महामारी COVID-19 का उपयोग स्पैम, मैलवेयर, एन्क्रिप्शन और दुर्भावनापूर्ण डोमेन सहित सोशल इंजीनियरिंग तकनीकों का उपयोग करके दुर्भावनापूर्ण अभियानों में एक डिकॉय के रूप में किया जाता है। जैसे-जैसे संक्रमणों की संख्या हजारों में बढ़ती है, वैसे-वैसे दुर्भावनापूर्ण अभियान भी गति पकड़ रहे हैं। विशेषज्ञ लगातार कोरोनोवायरस से जुड़े ऐसे दुर्भावनापूर्ण अभियानों के नए उदाहरण खोज रहे हैं।

यूएफओ केयर मिनट


COVID-19 — , SARS-CoV-2 (2019-nCoV). — , /, .



, .

, , .

: |

कोरोनावायरस स्पैम पांडालैब्स के

विशेषज्ञों ने संयुक्त राज्य अमेरिका, जापान, रूस और चीन जैसे देशों सहित लगभग दुनिया भर में कोरोनोवायरस से संबंधित स्पैम ईमेल भेजना और प्राप्त करना पाया। इनमें से कई पत्र, जो यह देखते हैं कि वे आधिकारिक संगठनों से भेजे गए थे, बताते हैं कि उनमें महामारी के संबंध में अद्यतन जानकारी और सिफारिशें हैं। अधिकांश स्पैम अभियानों की तरह, उनमें भी दुर्भावनापूर्ण अनुलग्नक होते हैं।

एक उदाहरण स्वास्थ्य मंत्रालय द्वारा कथित रूप से भेजे गए कोरोना वायरस के नवीनतम अपडेट की विषय पंक्ति के साथ स्पैम है। इसमें संक्रमण को रोकने के तरीके के बारे में सिफारिशें शामिल हैं, और पत्र में एक अनुलग्नक शामिल है जिसमें कोरोनोवायरस सीओवीआईडी ​​-19 के बारे में अद्यतन जानकारी शामिल है। वास्तव में, इसमें मैलवेयर होते हैं।



कोरोनावायरस के बारे में अन्य स्पैम संदेश खाद्य आपूर्ति से संबंधित हैं जो संक्रमण के प्रसार से बाधित थे।



निम्नलिखित इतालवी स्पैम उदाहरण में कोरोनावायरस के बारे में महत्वपूर्ण जानकारी शामिल है:



यह पुर्तगाली पत्र
COVID-19 के खिलाफ कथित टीका के बारे में नई जानकारी का वादा करता है



ऐसे मामले सामने आए हैं जिनमें लोगों को दुर्भावनापूर्ण संलग्नक डाउनलोड करने के लिए स्पैम ईमेल के विषय में एंटी-कोरोनावायरस दवाओं का उल्लेख किया गया था। कभी-कभी ऐसा दुर्भावनापूर्ण लगाव HawkEye Reborn , HawkEye Trojan का एक प्रकार है जो जानकारी चुराता है।



दुर्भावनापूर्ण अनुलग्नकों के लिए संकेतक समझौता


SHA-256
b9e5849d3ad904d0a8532a886bd3630c4eec3a6faf0cc68658f5ee4a5e803be



इस मामले में, संकेतक के साथ छेड़छाड़ कर रहे हैं:



SHA-256
6cc5e1e72411c4f4b2033ddafe61fdb567cb0e17ba7a3247acd60cbd4bc57bfb
7c12951672fb903f520136d191f3537bc74f832c5fc573909df4c7fa85c15105

एक अन्य स्पैम अभियान ने इटली में एक ऐसे देश को लक्षित किया, जो महामारी की चपेट में था। अक्षरों के विषय और शरीर में पाठ "कोरोनावायरस: सावधानियां पर महत्वपूर्ण जानकारी" है। पत्र का मुख्य भाग बताता है कि पत्र में संलग्नक विश्व स्वास्थ्य संगठन (WHO) का एक दस्तावेज है, और इसलिए यह दृढ़ता से अनुशंसा की जाती है कि आप इस संलग्न Microsoft Word दस्तावेज़ को डाउनलोड करें, जिसमें एक ट्रोजन शामिल है।



जब उपयोगकर्ता इस दस्तावेज़ को खोलता है, तो निम्न संदेश प्रदर्शित होता है, उपयोगकर्ता को मैक्रोज़ सक्षम करने के लिए मजबूर करता है: SHA-256



समझौता संकेतक (IOC) dd6cf8e8a31f67101f9741513bebe2f0067674e170edd624ef9b850e3ee8698fa2






मैलवेयर कोडर तथा जुड़े Coronavirus

सेवा 100% वर्गीकरण एंटीवायरस प्रयोगशाला PandaLabs पहचान करने और इन अभियानों से संबद्ध इन दुर्भावनापूर्ण निष्पादन योग्य फ़ाइलों को ब्लॉक करने में सक्षम था:



कोरोना वायरस को प्रभावित किया और चालक दल VESSEL.xlsm
ab533d6ca0c2be8860a0f7fbfc7820ffd
595edc63e540ff4c5991808da6a257d
17161e0ab3907f637c2202a384de67fca 49171c79b1b24db7c78a4680637e3d5
315e297ac510f3f2a60176f9c12fcf9 2681bbad758135767ba805cdea830b9ee

CoronaVirusSafetyMeasures_pdf.exe
c9c0180eba2a712f1aba1303b90cbf12c11 17451ce13b68715931abc437b10cd
29367502e16bf1e2b788705014d0142
d8bcb7fcc6a47d56f5682d7e333454e923

कोरोना VIRUS की सूची
E6e381cacc7291e501f4eed57bfd2 3f40d4a0d0fe1eea58fa1c71308431b5c2c
3e6166a6961bc7c23d316ea9bca87d82 87a4044865c3e73064054e805ef5ca1a

VICTIM.exe
b78a3d21325d3db7470fbf1a6d254e23d34 9531fca4d7f458b33ca93c91e61cd

अन्य शोधकर्ताओं देखा कि कैसे साइबर अपराधियों ऑनलाइन कार्ड का उपयोग कोरोना रोग निगरानी, की जगह उन्हें वेबसाइटों जिसमें से यह डाउनलोड करता है और मैलवेयर इंस्टॉल feykovye। नीचे दुर्भावनापूर्ण अनुप्रयोगों के हैश हैं:



2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
0b3e7faa3ad28853bb2b2ef188b310a67663a96544076cd71c32ac088f9af74d
13c0165703482dd521e1c1185838a6a12ed5e980e7951a130444cf2feed1102e
fda64c0ac9be3d10c28035d12ac0f63d85bb0733e78fe634a51474c83d0a0df8
126569286f8a4caeeaba372c0bdba93a9b0639beaad9c250b8223f8ecc1e8040 रैंसमवेयर का

एक नया संस्करण कोरोनावीयर सिस्टम के अनुकूलन के लिए इसके वितरण के लिए एक नकली साइट का उपयोग करता है। पीड़ितों ने अनजाने में इस साइट से WSGSetup.exe फ़ाइल डाउनलोड की। फिर इस फ़ाइल ने दो प्रकार के मैलवेयर के लिए डाउनलोडर के रूप में काम किया: कोरोनावायरस रैंसमवेयर और ट्रोजन कोप्टर पासवर्ड चोरी

यह अभियान क्रिप्टोग्राफर्स के बीच नवीनतम प्रवृत्ति का हिस्सा है: यह डेटा चोरी के साथ डेटा एन्क्रिप्शन को जोड़ता है।

इसके अलावा, CovidLoc नामक एक अन्य रैंसमवेयर देखा गया थाk, अब मोबाइल उपयोगकर्ताओं को प्रभावित कर रहा है। यह रैंसमवेयर एक दुर्भावनापूर्ण एंड्रॉइड एप्लिकेशन से आया है जो सीओवीआईडी ​​-19 संक्रमणों को ट्रैक करने में मदद करता है।

रैंसमवेयर अपने पीड़ित के सेल फोन को ब्लॉक करता है, जिससे उसे अपने डिवाइस तक पहुंच बहाल करने के लिए बिटकॉइन में $ 100 की फिरौती देने के लिए केवल 48 घंटे का समय मिलता है। अन्यथा, पीड़ित को फोन से सभी डेटा को हटाने और सोशल नेटवर्क पर अपने खातों का डेटा चोरी करने की धमकी दी जाती है।

कोरोनावायरस संबंधित डोमेन



इसके अलावा, उनके नाम में "कोरोना" शब्द का उपयोग करने वाले डोमेन नामों की संख्या में स्पष्ट रूप से वृद्धि हुई हैनीचे हम निम्न दुर्भावनापूर्ण डोमेन सूचीबद्ध करते हैं:

  • acccorona [।] कॉम
  • अल्फाकोरोनोवायरसवासीन [।] कॉम
  • एंटिकोरोनप्रोडक्ट्स [।] कॉम
  • बीटिंगकोरोना [।] कॉम
  • बीटिंगकोरोनोवायरस [।] कॉम
  • bestcorona [।] कॉम
  • betacoronavirusvaccine [.] com
  • buycoronavirusfacemasks [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • combatcorona [.] com
  • contra-coronavirus [.] com
  • corona-blindado [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • corona explicada [.] com
  • corona-iran [.] com
  • corona-ratgeber [.] com
  • coronadatabase [.] com
  • coronadeathpool [.] com
  • coronadetect [.] com
  • coronadetection [.] com


ये हमले कैसे काम करते हैं

तथ्य यह है कि इन सभी हमलों में पैठ वाले वैक्टर का उपयोग किया जाता है, जिसे "पारंपरिक" माना जा सकता है। इन सभी वैक्टर को अंतिम उपकरणों की सुरक्षा के लिए पारंपरिक एंटीवायरस समाधानों द्वारा बंद किया जा सकता है। इस मामले में, पांडालैब्स खतरों का पता लगाने और उन्हें अवरुद्ध करने के लिए निम्नलिखित तंत्र का उपयोग करता है:

• एक 100% वर्गीकरण सेवा जो प्रत्येक बाइनरी फ़ाइल को वर्गीकृत करती है और केवल उन लोगों को अनुमति देती है जिन्हें कृत्रिम बुद्धि के साथ क्लाउड सिस्टम द्वारा जांच की जाती है
• ईडीआर प्रौद्योगिकियों और विशेष रूप से, संकेतक पहचान प्रणाली व्यवहार और संदर्भ द्वारा हमलों (IoA)

हम जो देखते हैं, उसमें से सबसे आम उदाहरण सोशल इंजीनियरिंग तकनीकों का उपयोग करते हुए स्पैम ईमेल हैं। : इस तरह के पत्र एक ड्रॉपर कि भार बाइनरी फ़ाइल यहाँ शामिल

C: \ Users \ उपयोगकर्ता \ AppData \ Local \ अस्थायी \ qeSw.exe
हैश: 258ED03A6E4D9012F8102C635A5E3DCD पांडा

समाधान के रूप में ड्रॉपर का पता लगाने के Trj / GdSda.A vssadmin: यह बाइनरी फ़ाइल कंप्यूटर (प्रक्रिया एन्क्रिप्ट करता है। exe) और conhost.exe प्रक्रिया का उपयोग करके छाया प्रतियां निकालता है। IoC के आधिकारिक स्रोत स्पैनिश नेशनल क्रिप्टोग्राफ़िक केंद्र में हैश, आईपी पते और डोमेन के स्तर पर समझौता (IoC) के संकेतकों की एक विस्तृत सूची है: www.ccn.cni.es/index.php/en






जानकारी यहाँ उपलब्ध है:
loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

खुद को इन और अन्य साइबर खतरों से कैसे बचाएं

100% वर्गीकरण सेवा के लिए धन्यवाद, जो लॉन्च होने से पहले सभी बाइनरी फ़ाइलों को वर्गीकृत करता है और किसी भी दुर्भावनापूर्ण बाइनरी के लॉन्च को रोकता है। कई अन्य लोगों की तरह दुर्भावनापूर्ण अभियानों को रोकने के लिए उन्नत सुरक्षा विकल्पों के साथ फ़ाइलें, समापन बिंदु सुरक्षा समाधान बहुत प्रभावी हैं।

सेवा को लॉन्च करने से पहले मैलवेयर और रैंसमवेयर का पता लगाने और हटाने के लिए एक अत्यधिक कुशल तंत्र का उपयोग किया जाता है, भले ही वे नए खतरे विकल्प या नए दुर्भावनापूर्ण डोमेन हों, जैसा कि COVID-19 से जुड़ी दुर्भावनापूर्ण वस्तुओं के साथ होता है।

व्यवहार और प्रासंगिक आक्रमण संकेतक (IoA)संरक्षित उपकरणों पर व्यवहार के असामान्य पैटर्न का पता लगाएं और ब्लॉक करें: उदाहरण के लिए, वर्ड से एक निष्पादन योग्य फ़ाइल डाउनलोड करना या अज्ञात या दुर्भावनापूर्ण URL तक पहुंचने की कोशिश करना। डिवाइस से समझौता करने का कोई भी प्रयास तुरंत अवरुद्ध हो जाता है, और दुर्भावनापूर्ण कार्यों और दुर्भावनापूर्ण डोमेन से कनेक्शन का निष्पादन रोक दिया जाता है।

More articles:


All Articles