Email với một liên kết độc hại – chiêu tấn công không bao giờ cũ

Thư rác và e-mail lừa đảo không phải là mối đe dọa duy nhất mà bạn có thể tìm thấy trong hộp thư của mình. Tội phạm mạng vẫn đang sử dụng các liên kết đến phần mềm độc hại.

Khi bàn đến hành vi trộm cắp thông tin xác thực, các tin nhắn e-mail có liên kết lừa đảo thường xuất hiện đầu tiên. Tuy nhiên, những thông báo đó chỉ đại diện cho một phương tiện lấy tên người dùng và mật khẩu cho các dịch vụ trực tuyến khác nhau. Những kẻ lừa đảo vẫn thường xuyên gửi các liên kết đến phần mềm gián điệp. Một thủ thuật mà họ sử dụng để ngụy trang các liên kết đó là bao gồm một hình ảnh có vẻ là tệp đính kèm.

Email với một liên kết độc hại

Hôm nay, chúng tôi đang xem xét một cuộc tấn công email có chủ đích. Các tội phạm mạng được đề cập đã làm cho e-mail của chúng trông đáng tin cậy, gửi một RFQ (yêu cầu báo giá) đến một nhà cung cấp dịch vụ công nghiệp và nhà cung cấp thiết bị, với các hướng dẫn kèm theo.

Các công ty công nghiệp nhận được những yêu cầu như vậy khá thường xuyên và những người quản lý tài khoản thường sẽ mở tài liệu hướng dẫn và chuẩn bị một đề xuất, giải thích bất kỳ sự khác biệt nhỏ nào chẳng hạn như sự khác biệt giữa tên miền và chữ ký của người gửi. Điều chúng tôi quan tâm ở đây là cách tội phạm mạng khiến người nhận chạy phần mềm độc hại. Đây là giao diện của e-mail.

Bạn có thấy tệp PDF đính kèm? Những gì bạn đang xem hoàn toàn không phải là tệp đính kèm. Outlook hiển thị các tệp đính kèm e-mail như thế này, nhưng ở đây bạn sẽ tìm thấy một số điểm khác biệt:

Biểu tượng tệp đính kèm phải khớp với ứng dụng được liên kết với tệp PDF trong hệ thống của bạn. Nếu không, thì đó không phải là tệp đính kèm hoặc bất kỳ thứ gì được đính kèm không phải là tệp PDF;

Thông tin chi tiết về tệp - tên, loại, kích thước - sẽ xuất hiện nếu bạn di chuột qua tệp đính kèm thực. Thay vào đó, bạn nhìn thấy một liên kết đến một số trang web mờ ám;

Mũi tên bên cạnh tên tệp phải được đánh dấu và hoạt động như một nút hiển thị menu ngữ cảnh;

Phần đính kèm phải xuất hiện trong một khối riêng biệt, không phải trong phần nội dung của e-mail, giống như sau:

Trên thực tế, đối tượng này được ngụy trang dưới dạng tệp đính kèm PDF chỉ là một hình ảnh thông thường. Nếu bạn thử chọn các phần của thư bằng chuột hoặc sử dụng Ctrl-A để chọn tất cả, thì điều đó sẽ rõ ràng hiển thị trước mắt bạn.

Hình ảnh che khuất một siêu liên kết đến một chương trình độc hại. Nhấp vào liên kết tải xuống một Trojan phần mềm gián điệp.

Trong trường hợp cụ thể này, liên kết độc hại đã trỏ đến một kho lưu trữ có tên Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, chứa một trình nạp Trojan. Kaspersky xác định là Trojan-Spy.Win32.Noon, một Trojan spyware khá phổ biến. Được biết đến từ năm 2017, nó cho phép kẻ tấn công lấy cắp mật khẩu và các thông tin khác từ các biểu mẫu đầu vào.

Làm thế nào để giữ an toàn

Để ngăn phần mềm gián điệp Trojan gây hại cho công ty của bạn, hãy cài đặt một giải pháp bảo mật đáng tin cậy trên mọi thiết bị có truy cập Internet để ngăn phần mềm độc hại chạy.

Hương