Lukuaika: 4 pöytäkirjaVerkkorikolliset, jotka pitävät juhlien päivämääristä, kuten kiitospäivä - mutta eivät samasta syystä kuin korkeatasoiset ihmiset. Tekijöille se on suosikki aika hyökätä. Miksi? Koska ihmiset viritetään miellyttäviin ja hyviin ajatuksiin ja tunteisiin sellaisina päivinä. Valitettavasti se tekee heistä haavoittuvampia. Kun he näkevät postilaatikoissa tervehdyskirjeen, he tuntevat kiitollisuutta ja uteliaisuutta - kuka lähetti sen? Ja napsauttavat liitteenä olevaa tiedostoa ajattelematta mahdollista vaaraa.
Tämän kiitospäivän aattona Comodon asiantuntijat sieppasivat ovelan hyökkäyksen, jonka tarkoituksena oli levittää yksi tällä hetkellä kaikkein kaikkein pahimmista haittaohjelmista - Emotet-troijalainen, jota käytetään yleensä pankkitietojen ja muun yksityisen tiedon varastamiseen.
Yleensä tämä haittaohjelma leviää enimmäkseen rahoitukseen liittyvänä sähköpostina kuin pankin viesti. Tässä on esimerkki tällaisesta Comodon palvelujen sieppaamasta sähköpostista.
Kuten näette, hyökkääjät käyttivät hyvin valmistautuneita väärennöksiä, jotka pystyivät pettämään jopa tietoturvatietoisen käyttäjän. Sähköpostissa oleva linkki johtaarozdroza.com/En_us/Clients_Messages/11_18 ” URL. Jos käyttäjä napsauttaa linkkiä, myrkytetty Microsoft Office -asiakirjatiedosto putoaa automaattisesti hänen koneelleen.
Mutta kiitospäivän aattona tekijät päättivät tehdä jotain erikoista ja peittää tartunnan saaneen tiedoston onnittelukortiksi. Alla on näytteet tietojenkalasteluviestit he käyttävät uudessa hyökkäyksessä.
Kuten näette, nämä sähköpostit on myös huolellisesti laadittu näyttämään uskottavilta. Niillä on erilainen sisältö, mutta joka tapauksessa se rakentuu inspiroimaan miellyttäviä ja lämpimiä tunteita uhreissa. Olipa kyseessä runsas tervehdys, kollegan ihailu tai jopa runo, se herättää uhreissa hyvän mielialan ja heikentää heidän valppauttaan.
Viestien alaosassa olevat lainaukset suurista ihmisistä herättivät myös luottamusta uhreihin, mikä lisäsi mahdollisuuksia avata asiakirja - ja päästää vihollisen taloon. Todellisuudessa "onnittelukortti" on Word-asiakirja, joka on saanut tartunnan Emotetillä.
Katsotaanpa tämän ovelan haittaohjelman koko tappoketjua.
Tartunnan saaneessa tiedostossa on upotettu makrokomentosarja. Kun käyttäjä avaa "onnittelukortin", makrot lataavat Emotetin uhrin koneelle.
Ensinnäkin käyttäjää kehotetaan ottamaan käyttöön makrosisällön suorittaminen, koska asiakirja sisältää VBA-virran, joka on suunniteltu lataamaan ja suorittamaan haittaohjelma.
Jos käyttäjä sallii aktiivisen sisällön suorittamisen, koodi soittaa cmd.exe muokatuilla parametreilla, jotka soittavat uudelleen cmd.exe hämärtyneillä parametreilla, jotka lopulta välittävät komentosarjan powershell.exe suunniteltu lataamaan ja suorittamaan binaareja Internetistä.
Hämärtyneet parametrit, joita käytettiin käynnistämiseen cmd.exe tallennetaan tekstilaatikkoon, jonka kokoa muutetaan uhrin huomaamattomaksi.
Sen jälkeen komentosarja tutkii viisi sijaintia ladata Emotetin: anora71.uz/aH3i9EM, egyptmotours.com/EfRRkqPucD, frskyeliquid.com/xspcYyA63, m3produtora.com/QOlBVnrL40, litsey4.ru/V5XLXxDubY.
Sitten se lataa haittaohjelman käyttäjän omalle Väliaikainen kansion ja suorittaa sen. Emotet siirtyy itselleen C: WindowsSysWOW64cachingplain.exe ja luo palvelun, joka suoritetaan järjestelmän käynnistyksen aikana.
Äskettäin luotu palvelu muodostaa yhteyden varaus- ja palvelinpalvelimeen ilmoittamaan saatavuudesta ja vastaanottamaan komentoja.
Tästä hetkestä lähtien tartunnan saanut kone on hyökkääjien täydellisessä hallinnassa. He voivat poimia käyttäjien tunnistetiedot, pankki- ja muut yksityiset tiedot tietokoneelta ja jatkaa hyökkäystä lataamalla muun tyyppisiä haittaohjelmia.
"Hyökkäys on monimutkainen myrkytetty yhdistelmä hienostuneita hyvin naamioituja haittaohjelmia ja psykologisia manipulaatiotemppuja", kertoo Fodih Orhan, Comodon uhkatutkimuslaboratorioiden johtaja. ”Se ei ole vain tekniseltä kannalta vaarallista ja tuhoavaa, vaan erityisen kyyninen ja moraaliton, koska ihmisten kirkkaita tunteita käytetään hyväksi suuressa lomassa. Aina on huono ryöstää, mutta on paljon pahempaa ryöstää niin suurella lomalla ja olla tietoinen siitä, että tekijät käyttivät omia kirkkaita tunteitasi sinua vastaan. Olen todella iloinen siitä, että suojelimme asiakkaitamme näiltä tuskallisilta seurauksilta, emmekä antaneet tekijöiden pilata niin suuren päivän juhlaa ”.
Lämpökartta ja hyökkäyksen yksityiskohdat
Hyökkäys alkoi 19. marraskuuta 2018 kello 18:34:12 ja jatkui tämän artikkelin luomisen hetkellä. Se toteutettiin 26 IP: ltä 10 maasta. Tällä hetkellä löydetään 108 verkkourkintasähköpostia, ja oletettavasti hyökkäys saavuttaa huippunsa kiitospäivänä.
Hyökkäykseen osallistuneet maat ja lähetettyjen sähköpostien määrä maittain
Lämpökartta
Elää turvallisesti Comodon kanssa!
Viesti Myrkyllinen lahja kiitospäivää varten: Emotet tulee uusi naamio murtautumaan pankkitilillesi ilmestyi ensin Comodo-uutiset ja Internet-tietoturva.
- Coinsmart. Euroopan paras Bitcoin- ja kryptopörssi.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. VAPAA PÄÄSY.
- CryptoHawk. Altcoinin tutka. Ilmainen kokeilu.
- Lähde: https://blog.comodo.com/comodo-news/poisoned-gift-for-thanksgiving-day-a-new-disguise-to-break-into-your-bank-account/
- Tili
- aktiivinen
- artikkeli
- saatavuus
- Pankki
- pankkitili
- Pankkitoiminta
- Uutiset ja media
- rakentaa
- soittaa
- mahdollisuudet
- koodi
- pitoisuus
- jatkaa
- maahan
- Luominen
- Valtakirja
- uteliaisuus
- Asiakkaat
- Päivämäärät
- päivä
- löysi
- tunteet
- tapahtuma
- teloitus
- väärennös
- Vihdoin
- hyvä
- kiitollisuus
- suuri
- pää
- tätä
- Talo
- HTTPS
- tiedot
- Internet
- osallistuva
- IT
- Labs
- käynnistää
- LINK
- Makro
- haittaohjelmat
- Manipulointi
- Microsoft
- Microsoft Office
- mieliala
- liikkuu
- avata
- avautuu
- Muut
- PC
- Ihmiset
- Phishing
- Runous
- Näkökulma
- yksityinen
- Todellisuus
- tutkimus
- ajaa
- turvallisuus
- spam
- levitä
- alkoi
- käynnistyksen
- järjestelmä
- Tekninen
- Ajattelu
- aika
- Troijalainen
- Luottamus
- Näytä
- Haavoittuva
- KUKA