Mã độc TrickBot trở lại và lợi hại hơn với thủ thuật hack mới

www.tuoitre.vn -   15/10/2021 12:00:00 1275

Những kẻ đứng sau phần mềm độc hại TrickBot đã tái xuất với những thủ thuật mới nhằm tăng cường sự phát tán bằng cách mở rộng phạm vi tấn công, sau đó triển khai mã độc tống tiền ransomware như Conti.

Theo một báo cáo của IBM X-force, tác nhân nguy hại có biệt danh ITG23 và Wizard Spider, được phát hiện là hợp tác với các băng nhóm tội phạm mạng khác như Hive0105, Hive0106 (hay còn gọi là TA551 hoặc Shathak) và Hive0107, để tăng cường các chiến dịch phát tán phần mềm độc hại độc quyền.

Mã độc TrickBot trở lại và lợi hại hơn với thủ thuật hack mới

Hai nhà nghiên cứu Ole Villadsen và Charlotte Hammond cho biết: “Những băng nhóm tội phạm mạng này phát tán phần mềm độc hại vào mạng của công ty bằng cách chiếm đoạt quyền điều khiển các chuỗi email, sử dụng biểu mẫu phản hồi giả mạo của khách hàng và thao túng nhân viên thông qua các cuộc gọi lừa đảo như “BazaCall”.

Kể từ khi xuất hiện vào năm 2016, TrickBot đã phát triển từ một trojan banking thành một giải pháp phần mềm tội phạm dựa trên mô-đun Windows, nổi bật về khả năng phục hồi, duy trì và cập nhật bộ công cụ và cơ sở hạ tầng bất chấp cơ quan chức năng và các nhóm ngành nỗ lực gỡ bỏ. Ngoài TrickBot, nhóm hacker Wizard Spider còn được cho là đã phát triển phần mềm độc hại BazarLoader và một cửa hậu có tên là Anchor.

Những cuộc tấn công hồi đầu năm nay dựa vào chiến dịch gửi email có chứa dữ liệu Excel và cuộc gọi lừa gạt “BazaCall” để phát tán phần mềm độc hại vào mạng công ty. Trong khi đó, các cuộc xâm nhập bắt đầu từ tháng 6/2021 rộ lên với sự hợp tác giữa hai băng nhóm tội phạm mạng nhằm tăng cường cơ sở hạ tầng phát tán bằng cách chiếm quyền kiểm soát email và tạo ra những biểu mẫu khảo sát khách hàng giả mạo trên những website của các tổ chức để triển khai payloads Cobalt Strike độc hại.

Mã độc TrickBot trở lại và lợi hại hơn với thủ thuật hack mới

Các nhà nghiên cứu cho biết: “Động thái này không chỉ làm tăng mức độ xâm phạm mà còn đa dạng hóa các phương thức phát tán với mục tiêu ngày càng có nhiều nạn nhân tiềm năng bị lây nhiễm.”

Trong một chuỗi lây nhiễm được IBM theo dõi hồi cuối tháng 8/2021, Hive0107 được cho là đã áp dụng một chiến thuật mới liên quan đến việc gửi email nhắm vào các công ty để thông báo rằng trang web của họ đã thực hiện các cuộc tấn công từ chối dịch vụ (DDos) vào máy chủ, sau đó thúc giục họ nhấn vào liên kết để có thêm bằng chứng. Khi bấm vào liên kết, tệp lưu trữ ZIP chứa trình tải xuống JavaScript (JS) độc hại sẽ được tải xuống, và lần lượt liên kết với một URL từ xa để lây nhiễm phần mềm độc hại BazarLoader có nhiệm vụ thả Cobalt Strike và TrickBot.

Các nhà nghiên cứu kết luận: “ITG23 cũng đã cải tiến ransomware thông qua việc tạo ra phần mềm độc hại Conti ransomware-as-a-service (RaaS) và sử dụng BazarLoader và TrickBot để tấn công. Bước tiến mới này thể hiện sức mạnh của sự kết nối trong giới tội phạm mạng và khả năng tận dụng các mối quan hệ này để gia tăng số lượng các tổ chức, doanh nghiệp bị nhiễm phần mềm độc hại.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 50
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 51
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 49
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...

Kaspersky phát hiện biến thể Lite mới củ...

29/10/2024 08:00:00 47
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kas...

Trình duyệt Opera sửa lỗ hổng bảo mật lớ...

28/10/2024 08:00:00 34
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc...

Apple mở mã nguồn PCC cho các nhà nghiên...

24/10/2024 12:00:00 34
Apple đã công khai cung cấp Môi trường nghiên cứu ảo (VRE) Private Cloud Compute (PCC), cho phép cộn...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button