在过去的六个月中,随着COVID-19大流行的蔓延,攻击者也试图将其用作诱饵发动攻击。攻击者喜欢利用社交热点。他们总是试图在受害者意识到危险之前发动攻击,并以各种诱人的理由引诱他们点击攻击性链接或通过社会工程学打开看似无害的链接。附件。例如,由于大多数商店的货架上都摆满了卫生纸和洗手液等物品,而且现在任何一家便利店都可以买到口罩,因此攻击者正在使用网络钓鱼电子邮件来诱骗购买这些物品的买家。然而,这些利用新冠疫情的社会工程攻击现在已经非常无效,因为使用几个月前相关但现在不相关的主题不会再次上钩,最终导致较低的投资回报。然而,这并不能阻止犯罪分子继续尝试使用该主题进行更新。除了之前报道的许多与COVID-19相关的攻击示例外,这里还有一些最近发现的示例。类似于419诈骗的攻击案例彩票诈骗是预付款诈骗的一种,类似于419诈骗。它以一封莫名其妙的电子邮件、电话或挂号信开始,通知您“您赢了!”这些收件人通常会被告知“由于一些姓名和号码混淆”,这需要保密,并要求他们联系所谓的代表。代理人会告诉这些受骗的人,他们需要支付费用,否则他们将无法获得奖金。这些邮件大多会冒用合法彩票机构或合作单位的名义进行诈骗。以下是最新案例:以下是一封主题为“新冠疫情基金救助奖”的钓鱼邮件。电子邮件示例诈骗者将通知收件人他们是“正在进行的谷歌21周年和联合国Covid-19基金救济奖的第二位幸运收件人,该奖由美国加利福尼亚州的谷歌总部管理,除了明显的语法、格式和标点符号错误外,并且事实上,不一致是一个危险信号,事实上,这封电子邮件的内容声称包含来自一家大公司的金钱奖励,这意味着这封电子邮件可能会被忽略和删除。这是因为没有信誉良好的公司或组织提醒获奖者如此重要的奖项通过电子邮件发送。其他明显的警告标志包括无处可获得该金额的奖项,而且颁发机构显然连获奖者的名字和姓氏等基本信息都不知道。正如您在下面看到的,我们发现这个电子邮件地址或类似的布局在3月份发现的骗局中被发现多次(419次)。电子邮件中使用的WhatsApp电话号码已解析为南非。在第二个骗局中,一旦打开名为UNITEDNATIONSCOVID-19.pdf的PDF文件,骗局就开始了。我们立即看到了知名组织的商标滥用,包括联合国标志的商标滥用,如果用户仔细观察,他们会发现这封电子邮件是伪造的。UNITEDNATIONSCOVID-19.pdf附件比特币攻击示例此示例是社会工程攻击的另一个示例,这种尝试看起来类似于各国提供的一些经济刺激计划。请务必注意,除了常见的语法和格式问题外,该电子邮件完全没有其他细节,这是诈骗的明显迹象。无论哪种方式,攻击者仍然希望受害者会上当。示例比特币网络钓鱼电子邮件如果用户单击其中的链接,他们将被重定向到hxxps://cryptocurrencypandemicclaims[.]uc[.]r[.]appspot[.]com/cryptocurrencyclaims[.]hxxx并假装是您提供您选择的加密货币交易所,让受害者“选择您的钱包”。已经设置比特币钱包的受害者被要求“登录”到他们的钱包以领取所谓的奖金,让攻击者有机会获得访问受害者比特币钱包的凭证。受害者必须选择一个钱包才能继续点击最大的比特币交易平台之一——coinbase,然后可以被重定向到另一个钓鱼页面,这个假页面看起来和CoinBase页面非常相似,除了明显错误的URL:[hxxps://cryptocurrencypandemicclaims[.]uc[.]r[.]appspot.com/home/coinbase/index[.]hxxx#]带有Coinbase外观的恶意登录页面输入电子邮件地址和密码后,下面的表格我们将被要求再次确认细节:输入到将帐户数据发送到远程URL的表单中的数据被发送到远程位置,即已知的钓鱼网站hxxp://pwwebtraffic[.]com。正在向pwwebtraffic[.]com提交表单该域一直活跃到6月,这表明有大量垃圾邮件在运行:pwwebtraffic.com站点流量高峰期持续了六个月委内瑞拉占总访问量的98%,而澳大利亚、加拿大、新西兰、德国、美国和智利占其余2%的大部分。使用延迟付款的NETWIRE网络钓鱼示例电子邮件我们最近看到的另一个covid-19攻击示例是付款延迟,这是许多付款因covid-19而延迟的原因。这就是攻击点。如果毫无戒心的受害者打开附件“Payment_details.rar”,生成的文件(用Delphi编写)将解压缩并调用以下GoogleDriveURL:hxxps://drive[.]google[.]com/u/0/uc?id=1AiqquVw81WrAfMFGXfEbQ64Ipx0b-Igt&export=download承载有效载荷,也是一个十六进制编码文件。该文件还将与以下IP地址相关联:172.217.18[.]14(GoogleDrive,GoogleDrive是谷歌推出的在线云存储服务,用户通过该服务可以获得15GB的免费存储空间。)46.38.151[.]236"(C2)192.168.0[.]1(Localhost)最后将它们写入注册表位置HKEY_CURRENT_USER\Software\NetWire。它还将启动进程TapiUnattend.exe通过端口3871连接到C2服务器okamoto[.]hopto[.]org(46.38.151[.]236),这是一台位于英国的服务器,其命名空间分配给了伊朗的一家公司。通过trace分析,dynDNSURL与Azorult一致,Nanocore与NJRAT等恶意软件家族关联,对c2服务器okamoto[.]hopto[.]org的跟踪分析排名前三的攻击目标区域分别是德国(40%)、美国(40%)和奥地利(20%)).c2服务器okamoto[.]hopto[.]org产生的流量汇总虽然随着疫情的消退,以新冠疫情为话题的攻击可能会减少,但我们仍需提高警惕,防止他们以各种借口进行攻击迷惑真实发起钓鱼攻击。
