Mã độc TrickBot trở lại và lợi hại hơn với thủ thuật hack mới
Những kẻ đứng sau phần mềm độc hại TrickBot đã tái xuất với những thủ thuật mới nhằm tăng cường sự phát tán bằng cách mở rộng phạm vi tấn công, sau đó triển khai mã độc tống tiền ransomware như Conti.
Theo một báo cáo của IBM X-force, tác nhân nguy hại có biệt danh ITG23 và Wizard Spider, được phát hiện là hợp tác với các băng nhóm tội phạm mạng khác như Hive0105, Hive0106 (hay còn gọi là TA551 hoặc Shathak) và Hive0107, để tăng cường các chiến dịch phát tán phần mềm độc hại độc quyền.
Hai nhà nghiên cứu Ole Villadsen và Charlotte Hammond cho biết: “Những băng nhóm tội phạm mạng này phát tán phần mềm độc hại vào mạng của công ty bằng cách chiếm đoạt quyền điều khiển các chuỗi email, sử dụng biểu mẫu phản hồi giả mạo của khách hàng và thao túng nhân viên thông qua các cuộc gọi lừa đảo như “BazaCall”.
Kể từ khi xuất hiện vào năm 2016, TrickBot đã phát triển từ một trojan banking thành một giải pháp phần mềm tội phạm dựa trên mô-đun Windows, nổi bật về khả năng phục hồi, duy trì và cập nhật bộ công cụ và cơ sở hạ tầng bất chấp cơ quan chức năng và các nhóm ngành nỗ lực gỡ bỏ. Ngoài TrickBot, nhóm hacker Wizard Spider còn được cho là đã phát triển phần mềm độc hại BazarLoader và một cửa hậu có tên là Anchor.
Những cuộc tấn công hồi đầu năm nay dựa vào chiến dịch gửi email có chứa dữ liệu Excel và cuộc gọi lừa gạt “BazaCall” để phát tán phần mềm độc hại vào mạng công ty. Trong khi đó, các cuộc xâm nhập bắt đầu từ tháng 6/2021 rộ lên với sự hợp tác giữa hai băng nhóm tội phạm mạng nhằm tăng cường cơ sở hạ tầng phát tán bằng cách chiếm quyền kiểm soát email và tạo ra những biểu mẫu khảo sát khách hàng giả mạo trên những website của các tổ chức để triển khai payloads Cobalt Strike độc hại.
Các nhà nghiên cứu cho biết: “Động thái này không chỉ làm tăng mức độ xâm phạm mà còn đa dạng hóa các phương thức phát tán với mục tiêu ngày càng có nhiều nạn nhân tiềm năng bị lây nhiễm.”
Trong một chuỗi lây nhiễm được IBM theo dõi hồi cuối tháng 8/2021, Hive0107 được cho là đã áp dụng một chiến thuật mới liên quan đến việc gửi email nhắm vào các công ty để thông báo rằng trang web của họ đã thực hiện các cuộc tấn công từ chối dịch vụ (DDos) vào máy chủ, sau đó thúc giục họ nhấn vào liên kết để có thêm bằng chứng. Khi bấm vào liên kết, tệp lưu trữ ZIP chứa trình tải xuống JavaScript (JS) độc hại sẽ được tải xuống, và lần lượt liên kết với một URL từ xa để lây nhiễm phần mềm độc hại BazarLoader có nhiệm vụ thả Cobalt Strike và TrickBot.
Các nhà nghiên cứu kết luận: “ITG23 cũng đã cải tiến ransomware thông qua việc tạo ra phần mềm độc hại Conti ransomware-as-a-service (RaaS) và sử dụng BazarLoader và TrickBot để tấn công. Bước tiến mới này thể hiện sức mạnh của sự kết nối trong giới tội phạm mạng và khả năng tận dụng các mối quan hệ này để gia tăng số lượng các tổ chức, doanh nghiệp bị nhiễm phần mềm độc hại.”
Theo The Hacker News
TIN CÙNG CHUYÊN MỤC
Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...
Chiến dịch quảng cáo độc hại chiếm đoạt ...
Nghiên cứu mới tiết lộ lỗ hổng Spectre v...
Kaspersky phát hiện biến thể Lite mới củ...
Trình duyệt Opera sửa lỗ hổng bảo mật lớ...
Apple mở mã nguồn PCC cho các nhà nghiên...
- Cách xóa người, đối tượng, vật thể không mong muốn...
- Lý do công cụ AI chưa thể viết văn bản trên hình ả...
- Lỗ hổng bảo mật khiến kẻ xấu hack hệ thống mà khôn...
- Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản ...
- Ngoài AI, đây là những công nghệ mới trên smartpho...
- Nghiên cứu mới tiết lộ lỗ hổng Spectre vẫn tồn tại...