PowerPoint phát tán mã độc không cần kích hoạt Macro

09:42 | 20/06/2017 | HACKER / MALWARE

Người dùng có thể đã nhiều lần được cảnh báo về việc tin tặc sử dụng kỹ thuật tấn công dựa trên macro để phát tán mã độc qua tập tin Microsoft office. Tuy nhiên, trong cuộc tấn công mới được phát hiện, tin tặc không cần người dùng kích hoạt Macro mà thay vào đó, sử dụng PowerShell nhúng trong tệp tin PowerPoint để phát tán mã độc.

PowerPoint phát tán mã độc không cần kích hoạt Macro

Mã độc PowerShell ẩn bên trong tài liệu sẽ thực thi lây nhiễm ngay khi người dùng di chuột qua một liên kết, tải xuống máy nạn nhân một payload mà không cần nhấp vào nó.

Các chuyên gia của công ty SentinelOne đã phát hiện một nhóm tin tặc đang sử dụng các tệp PowerPoint độc hại để phát tán mã độc ngân hàng Zusy (còn được gọi là Tinba hoặc Tiny Banker).

Được phát hiện vào năm 2012, mã độc Zusy nhằm vào các trang web tài chính và có khả năng theo dõi lưu lượng mạng và thực hiện các cuộc tấn công Man-in-The-Browser (MitB) để đưa các mẫu bổ sung vào các trang web ngân hàng, yêu cầu nạn nhân chia sẻ các dữ liệu quan trọng như số thẻ tín dụng, thẻ xác thực.

Khi người dùng mở file PowerPoint đính kèm, sẽ thấy hiển thị dòng chữ “Loading ... Please Wait” dưới dạng một link liên kết. Người dùng di chuột qua liên kết, mã PowerShell sẽ tự động được kích hoạt. Tuy nhiên, tính năng bảo vệ Protected View được kích hoạt mặc định trong các phiên bản Office như: Office 2013 và Office 2010 sẽ hiển thị một cảnh báo nghiêm trọng và nhắc người dùng kích hoạt hoặc vô hiệu hóa nội dung. Nếu người dùng bỏ qua lời cảnh báo này và cho phép xem nội dung, chương trình độc hại sẽ kết nối với tên miền "cccn.nl", từ nơi nó tải xuống và thực hiện một tệp, cuối cùng một biến thể mới của mã độc ngân hàng sẽ được phát tán là Zusy.

‹ › ×

Tin liên quan

Cách thức hoạt động của mã độc không dùng tệp và giải pháp phòng chống

09:00 | 17/04/2019

Mã độc không dùng tệp (fileless malware) là mối đe dọa an toàn thông tin đã được biết đến từ lâu, tuy nhiên loại mã độc này đang ngày càng trở nên phổ biến trên thế giới. Theo báo cáo của Học viện Ponemon (Mỹ) năm 2017 cho thấy, 77% là tỷ lệ số vụ tấn công an ninh mạng thành công nhằm vào các doanh nghiệp sử dụng phương thức tấn công bằng mã độc không dùng tệp. Chúng ẩn mình tốt hơn các loại mã độc thông thường, sử dụng nhiều kỹ thuật khác nhau để tồn tại lâu dài, sau đó có thể phá hoại các quy trình nghiệp vụ và cơ sở hạ tầng của tổ chức. Nội dung dưới đây sẽ trình bày cách thức hoạt động của mã độc không dùng tệp, cùng những giải pháp để đối phó với chúng.

Tin cùng chuyên mục

Phân tích chiến dịch khai thác lỗ hổng Windows SmartScreen để phân phối phần mềm độc hại DarkGate

07:00 | 08/04/2024

Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).