Lugemisaeg: 4 protokoll
Küberkurjategijad armastavad tähistada selliseid kuupäevi nagu tänupüha – kuid mitte samal põhjusel, nagu teevad seda tunnustatud inimesed. Kurjategijate jaoks on see lemmikaeg rünnata. Miks? Sest inimesed on sellistel päevadel häälestatud meeldivatele ja headele mõtetele ja tunnetele. Kahjuks muudab see nad haavatavamaks. Kui nad näevad postkastis tervituskirja, tunnevad nad tänu ja uudishimu – kes selle saatis? – ning klõpsavad lisatud failil, mõtlemata võimalikule ohule.
Selle tänupüha eelõhtul püüdsid Comodo spetsialistid kinni kavala rünnaku, mille eesmärk oli levitada üht praegu kõige õelamat pahavara – Emoteti trooja, mida tavaliselt kasutatakse pangamandaatide ja muu privaatse teabe varastamiseks.
Tavaliselt levib see pahavara peamiselt rahandusega seotud e-kirjana nagu pangasõnum. Siin on näide sellistest e-kirjadest, mille Comodo rajatised kinni pidasid.
Nagu näete, kasutasid ründajad hästi ettevalmistatud võltsi, mis suutis petta isegi turvateadlikku kasutajat. Meilis olev link viib aadressile "rozdroza.com/En_us/Clients_Messages/11_18” URL. Kui kasutaja klõpsab lingil, kukub mürgitatud Microsoft Office'i dokumendifail automaatselt tema masinasse.
Kuid tänupüha eel otsustasid kurjategijad teha midagi erilist ja maskeerida nakatunud faili õnnitluskaardiks. Allpool on näidised andmepüügi e-kirju nad kasutavad uues rünnakus.
Nagu näete, on need meilid ka hoolikalt läbi töötatud, et need näeksid usaldusväärsed. Neil on erinev sisu, kuid igal juhul on see üles ehitatud nii, et see tekitaks ohvrites meeldivaid ja sooje emotsioone. Olgu selleks südamlik tervitus, kolleegi imetlemine või kasvõi luulepala, äratab see kannatanutes hea tuju, nõrgendades seeläbi nende valvsust.
Suurepäraste inimeste tsitaadid sõnumite allosas tekitasid ka ohvrites usaldust, suurendades võimalust, et nad avavad dokumendi – ja lasevad vaenlase majja. Tegelikkuses on "õnnitluskaart" Wordi dokument, mis on nakatunud Emotetiga.
Vaatame kogu selle kavala pahavara tapaahelat.
Nakatunud failile on manustatud makroskript. Kui kasutaja avab õnnitluskaardi, laadivad makrod Emoteti ohvri masinasse alla.
Esiteks kästakse kasutajal lubada makrosisu käitamine, kuna dokument sisaldab VBA-voogu, mis on loodud pahavara allalaadimiseks ja käivitamiseks.
Kui kasutaja lubab aktiivsel sisul käitada, helistab kood cmd.exe muudetud parameetritega, mis helistavad uuesti cmd.exe hägusate parameetritega, mis lõpuks skripti edastavad powershell.exe loodud binaarfailide allalaadimiseks ja käitamiseks Internetist.
Käivitamiseks kasutatud segased parameetrid cmd.exe on salvestatud tekstikasti, mille suurust muudetakse ohvrile märkamatuks.
Pärast seda otsib skript Emoteti allalaadimiseks viit asukohta: anora71.uz/aH3i9EM, egyptmotours.com/EfRRkqPucD, frskyeliquid.com/xspcYyA63, m3produtora.com/QOlBVnrL40, litsey4.ru/V5XLXxDubY.
Seejärel laadib see pahavara kasutajale alla Ajutine kausta ja käivitab selle. Emotet liigub ennast C: WindowsSysWOW64cachingplain.exe ja loob teenuse süsteemi käivitamise ajal käitamiseks.
Äsja loodud teenus loob ühenduse C&C serveriga, et teavitada saadavusest ja saada käske.
Sellest hetkest alates on nakatunud masin ründajate täieliku kontrolli all. Nad saavad arvutist välja võtta kasutajate mandaadi, pangandus- ja muu privaatse teabe ning jätkata rünnakut, laadides alla muud tüüpi pahavara.
"Rünnak on keerukas mürgitatud sulam rafineeritud hästi maskeeritud pahavarast ja psühholoogilisest manipuleerimisest," ütleb Comodo ohuuuringute labori juht Fatih Orhan. “See pole ohtlik ja hävitav mitte ainult tehnilisest vaatenurgast, vaid eriti küüniline ja ebamoraalne, kuna suurel pühal kasutatakse ära inimeste helgeid tundeid. Alati on halb saada röövitud, kuid palju hullem on saada nii suurel puhkusel röövitud ja olla teadlik, et kurjategijad kasutasid teie vastu teie enda helgeid tundeid. Mul on väga hea meel, et kaitsesime oma kliente nende valusate tagajärgede eest ega lasknud kurjategijatel nii suurejoonelise päeva tähistamist ära rikkuda.
Rünnaku soojuskaart ja üksikasjad
Rünnak algas 19. novembril 2018 kell 18:34:12 ja kestis selle artikli loomise hetkel. See viidi läbi 26 IP-st 10 riigist. Hetkel on avastatud 108 andmepüügimeili ja väidetavalt jõuab rünnak haripunkti tänupühapäeval.
Rünnakuga seotud riigid ja saadetud meilide arv riigi kohta
Soojuskaart
Elage Comodoga turvaliselt!
ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://blog.comodo.com/comodo-news/poisoned-gift-for-thanksgiving-day-a-new-disguise-to-break-into-your-bank-account/
- :on
- :on
- :mitte
- 10
- 118
- 12
- 19
- 2018
- 26%
- 362
- a
- Võimalik
- MEIST
- konto
- aktiivne
- jälle
- vastu
- eesmärk
- võimaldab
- Ka
- alati
- an
- ja
- OLEME
- artikkel
- AS
- At
- rünnak
- automaatselt
- kättesaadavus
- teadlik
- Halb
- Pank
- pangakonto
- Pangandus
- BE
- sest
- alla
- Blogi
- põhi
- Murdma
- Ere
- ehitama
- kuid
- by
- helistama
- CAN
- kaart
- hoolikalt
- juhul
- Pidu
- kett
- vastuolu
- klõps
- kood
- kolleeg
- keeruline
- läbi
- ühendab
- Tagajärjed
- sisaldab
- sisu
- jätkama
- jätkates
- kontrollida
- riikides
- loodud
- loob
- loomine
- MANDAAT
- volikiri
- uudishimu
- Praegu
- Kliendid
- OHT
- Ohtlik
- Kuupäevad
- päev
- Päeva
- otsustatud
- kavandatud
- detailid
- erinev
- avastasin
- do
- dokument
- lae alla
- allalaadimine
- allalaadimine
- Tilgad
- ajal
- kirju
- varjatud
- emotsioone
- võimaldama
- eriti
- eve
- Isegi
- sündmus
- Iga
- näide
- täitma
- Täidab
- täitmine
- ära kasutades
- väljavõte
- rajatised
- võlts
- Lemmik
- tundma
- tunded
- fail
- filtreerimine
- Lõpuks
- viis
- eest
- tasuta
- Alates
- saama
- kingitus
- hea
- suur
- tänulikkus
- suur
- tervitus
- Olema
- juhataja
- siin
- siin
- puhkus
- maja
- HTTPS
- Immoral
- in
- nakatunud
- info
- inspireerima
- kiire
- Internet
- sisse
- seotud
- IT
- ITS
- ise
- tapmine
- Labs
- algatama
- Leads
- laskma
- kiri
- nagu
- LINK
- kohad
- Vaata
- masin
- Makro
- makrosid
- tegema
- TEEB
- malware
- Manipuleerimine
- max laiuse
- Merge
- sõnum
- kirjad
- Microsoft
- modifitseeritud
- hetk
- rohkem
- kõige
- enamasti
- käike
- palju
- Uus
- äsja
- November
- nt
- number
- of
- Office
- on
- ONE
- ainult
- avatud
- Avaneb
- or
- Muu
- meie
- välja
- enda
- valus
- parameetrid
- sooritama
- PC
- tipp
- Inimesed
- kohta
- Phishing
- PHP
- tükk
- Platon
- Platoni andmete intelligentsus
- PlatoData
- usutav
- Luule
- Punkt
- Vaatepunkt
- potentsiaal
- era-
- isiklikku informatsiooni
- kaitstud
- psühholoogiline
- quotes
- tõstmine
- jõudma
- Reaalsus
- tõesti
- põhjus
- saama
- puhastatud
- teadustöö
- jooks
- sama
- ütleb
- tulemuskaart
- käsikiri
- kindlustama
- turvalisus
- vaata
- saatma
- Saadetud
- server
- teenus
- midagi
- spam
- eriline
- spetsialistid
- laiali
- alustatud
- käivitamisel
- ladustatud
- oja
- selline
- süsteem
- Tehniline
- tänupüha
- et
- .
- oma
- Neile
- Need
- nad
- Mõtlemine
- see
- oht
- Seega
- aeg
- et
- Summa
- Trojan
- Usalda
- häälestatud
- liigid
- all
- kahjuks
- Kasutatud
- Kasutaja
- kasutamine
- tavaliselt
- VBA
- Ohver
- ohvreid
- vaade
- valvsus
- Haavatav
- soe
- oli
- we
- millal
- WHO
- kogu
- miks
- will
- koos
- ilma
- sõna
- töötas
- halvem
- sa
- Sinu
- sephyrnet