Phát hiện chiến dịch thư rác kèm link tải mã độc nhắm vào doanh nghiệp

www.tuoitre.vn -   29/10/2021 12:00:00 268

Một chiến dịch thư rác mới xuất hiện với một đường dẫn đến một trình tải phần mềm độc hại không có giấy phép trước đây. Loại trình tải này cho phép những kẻ tấn công truy cập vào mạng lưới doanh nghiệp và phát tán các payload độc hại.

Trong một bài viết về kỹ thuật của Cisco Talos, các nhà nghiên cứu cho biết: “Những hành vi lây nhiễm này cũng tạo điều kiện phát tán các phần mềm độc hại như Qakbot và Cobalt Strike. Đây là hai trong số mối nguy hại phổ biến nhất thường nhắm vào các doanh nghiệp trên toàn thế giới.”

Phát hiện chiến dịch thư rác kèm link tải mã độc nhắm vào doanh nghiệp

Chiến dịch malspam được cho rằng đã đi vào hoạt động hồi giữa tháng 9/2021. Các email do những kẻ tấn công tạo ra sẽ đính kèm một tệp Microsoft Office độc hại. Khi mở ra, tệp này sẽ kích hoạt chuỗi lây nhiễm dẫn đến tải xuống một phần mềm độc hại có tên là SQUIRRELWAFFLE.

Bằng việc bắt chước một kỹ thuật tấn công giả mạo dưới hình thức email khác, chiến dịch mới này đánh cắp một chuỗi email và trá hình những email này với vẻ bề ngoài hợp pháp nhưng thật ra đang lừa gạt người dùng khởi chạy file đính kèm.

Hơn thế nữa, ngôn ngữ được sử dụng trong những email giả mạo khớp với ngôn ngữ được sử dụng trong chuỗi email gốc. Điều đó chứng tỏ loại tấn công này đã áp dụng phương pháp nội địa hóa nội dung email để tăng khả năng thành công của chiến dịch. Top 5 ngôn ngữ được sử dụng để phát tán trình tải phần mềm độc hại đó là: tiếng Anh (76%), tiếng Pháp (10%), tiếng Đức (7%), tiếng Hà Lan (4%), và tiếng Ba Lan (3%).

Dựa trên số liệu do một công ty an ninh mạng tổng hợp, đỉnh điểm của số lượng email được phát tán để thực hiện các cuộc tấn công là vào khoảng ngày 26/09.

Cơ sở hạ tầng phân phối phần mềm độc hại trước đây là các máy chủ web đã bị xâm nhập. Các máy chủ này chủ yếu chạy các phiên bản của nền tảng quản trị nội dung (CMS) WordPress. Trong khi đó, kỹ thuật tấn công nói trên thì sử dụng các tập lệnh “antibot” để chặn các yêu cầu web từ các địa chỉ IP. Tuy nhiên, những địa chỉ IP này không phải của nạn nhân mà là của các nền tảng phân tích tự động và các tổ chức nghiên cứu bảo mật.

Ngoài việc phát tán phần mềm độc hại Qakbot và công cụ kiểm tra thâm nhập Cobalt Strike trên các endpoint, trình tải phần mềm độc hại còn kết nối với máy chủ do kẻ tấn công điều khiển từ xa để truy xuất những payload thứ cấp. Đây là một trình tải có thể thực hiện nhiều mục tiêu tấn công khác nhau.

Trong một bài phân tích về phần mềm độc hại SQUIRRELWAFFLE hồi tháng vừa rồi, Zscaler cho biết: “Sau vụ mạng botnet độc hại Emotet bị triệt phá đầu năm nay, các tác nhân nguy hại khác đang nối bước. Dường như SQUIRRELWAFFLE là một trình tải mới đang tận dụng lỗ hổng này. Hiện vẫn chưa có xác minh nào cho biết SQUIRRELWAFFLE được phát triển và phát tán bởi tác nhân nguy hại trước đây hay một nhóm tấn công mới. Tuy nhiên, trình tải này đã sử dụng các kỹ thuật phát tán tương tự như Emotet từng dùng.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Hacker lừa người dùng tải Windows 11 giả...

19/05/2022 08:00:00 23
Các miền gian lận giả danh cổng tải xuống Windows 11 của Microsoft đang cố gắng lừa người dùng triển...

Hơn 200 ứng dụng trên Cửa hàng Google Pl...

17/05/2022 08:00:00 11
Hơn 200 ứng dụng Android giả mạo là ứng dụng thể dục, chỉnh sửa ảnh và giải đố đã được phát hiện lây...

Các nhà nghiên cứu khám phá cách hacker ...

16/05/2022 08:00:00 17
Một phân tích bảo mật đầu tiên về chức năng iOS Find My đã xác định được một cách tấn công mới khiến...

Android và Chrome sẽ sớm tạo thẻ ứng dụn...

14/05/2022 08:00:00 17
Google đã tham dự hội nghị nhà phát triển hàng năm của mình để công bố một loạt các cập nhật về quyề...

Hàng nghìn trang web WordPress bị hack c...

13/05/2022 08:00:00 16
Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch lớn chịu trách nhiệm đưa mã JavaScript độc...

Châu Âu đề xuất quy tắc mới cho các công...

12/05/2022 08:00:00 14
Ủy ban châu Âu hôm thứ Tư đề xuất quy định mới yêu cầu các công ty công nghệ quét tài liệu lạm dụng ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ