Microsoft cảnh báo về phần mềm độc hại đánh cắp dữ liệu giả vờ là phần mềm ransomware

www.tuoitre.vn -   24/05/2021 10:00:00 1598

Hôm thứ Năm, Microsoft đã cảnh báo về một "chiến dịch email lớn" đang thúc đẩy một phần mềm độc hại STRRAT dựa trên Java để đánh cắp dữ liệu bí mật từ các hệ thống bị nhiễm trong khi ngụy trang thành một trường hợp lây nhiễm ransomware.

Microsoft cảnh báo về phần mềm độc hại đánh cắp dữ liệu giả vờ là phần mềm ransomware

"RAT này nổi tiếng vì hành vi giống như ransomware là gắn phần mở rộng tên tệp .crimson vào các tệp mà không thực sự mã hóa chúng", nhóm Tình báo Bảo mật của Microsoft cho biết trong một loạt các tweet.

Làn sóng tấn công mới, mà công ty phát hiện vào tuần trước, bắt đầu với các email spam được gửi từ các tài khoản email bị xâm nhập với "Thanh toán đi" trong dòng chủ đề, dụ người nhận mở các tài liệu PDF độc hại yêu cầu chuyển tiền, nhưng trên thực tế, kết nối với miền giả mạo để tải xuống phần mềm độc hại STRRAT.

Microsoft cảnh báo về phần mềm độc hại đánh cắp dữ liệu giả vờ là phần mềm ransomware

Bên cạnh việc thiết lập kết nối với máy chủ điều khiển và chỉ huy trong quá trình thực thi, phần mềm độc hại này còn đi kèm với một loạt tính năng cho phép nó thu thập mật khẩu trình duyệt, ghi nhật ký tổ hợp phím, chạy các lệnh từ xa và tập lệnh PowerShell.

STRRAT lần đầu tiên xuất hiện trong bối cảnh mối đe dọa vào tháng 6 năm 2020, khi công ty an ninh mạng G Data của Đức quan sát phần mềm độc hại Windows (phiên bản 1.2) trong các email lừa đảo có chứa tệp đính kèm độc hại Jar (hoặc Java Archive).

Karsten Hahn, nhà phân tích phần mềm độc hại của G Data, Karsten Hahn cho biết: “RAT tập trung vào việc đánh cắp thông tin đăng nhập của trình duyệt và ứng dụng email cũng như mật khẩu thông qua keylogging. "Nó hỗ trợ các trình duyệt và ứng dụng email sau: Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird."

Khả năng ransomware của nó ở mức thô sơ nhất ở chỗ giai đoạn "mã hóa" chỉ đổi tên các tệp bằng cách thêm đuôi ".crimson". "Nếu phần mở rộng bị xóa, các tệp có thể được mở như bình thường", Kahn nói thêm.

Microsoft cũng lưu ý rằng phiên bản 1.5 phức tạp hơn và có nhiều mô-đun hơn so với các phiên bản trước, cho thấy rằng những kẻ tấn công đằng sau hoạt động đang tích cực làm việc để ứng biến bộ công cụ của chúng. Nhưng thực tế là hành vi mã hóa không có thật vẫn không thay đổi báo hiệu rằng nhóm này có thể đang nhắm đến việc kiếm tiền nhanh chóng từ những người dùng không nghi ngờ bằng cách tống tiền.

Hương

TIN CÙNG CHUYÊN MỤC

Lưu ý cập nhật ngay bản vá lỗ hổng Googl...

01/12/2023 12:00:00 20
Điều khiến lỗ hổng trở nên tồi tệ nằm ở thực tế là nó hiện đang bị khai thác ngoài thực tế chứ không...

Apple tung ra bản vá iOS, macOS và Safar...

30/11/2023 08:00:00 22
Apple đã phát hành bản cập nhật phần mềm cho trình duyệt web iOS, iPadOS, macOS và Safari để giải qu...

Microsoft mặc định cài ứng dụng HP Smart...

30/11/2023 12:00:00 17
Cũng cần lưu ý rằng chương trình này dường như đến từ một nguồn hợp pháp, vì vậy sự hiện diện của nó...

Phần mềm độc hại Android FjordPhantom mớ...

29/11/2023 08:00:00 35
Các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại Android tinh vi mới có tên FjordPhan...

Google Chrome đang bị tấn công tích cực,...

29/11/2023 08:00:00 21
Google đã tung ra các bản cập nhật bảo mật để khắc phục bảy vấn đề bảo mật trong trình duyệt Chrome ...

3 lưu ý trước khi xóa trình quản lý mật ...

29/11/2023 12:00:00 12
Nếu bạn muốn sử dụng một phương thức lưu trữ mật khẩu khác hoặc muốn giao diện của một ứng dụng khác...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ