Cụ thể, các cuộc tấn công sử dụng các email chứa tệp HTML ("XLS.HTML") giả mạo biên lai giống các giao dịch kinh doanh liên quan đến tài chính. Mục tiêu cuối cùng là thu thập tên người dùng và mật khẩu sử dụng cho các cuộc tấn công.
Microsoft 365 Defender Threat Intelligence Team cho biết trong một phân tích, "Tệp đính kèm HTML được chia thành nhiều phân đoạn, bao gồm các tệp JavaScript được sử dụng để đánh cắp mật khẩu, sau đó được mã hóa bằng nhiều cơ chế khác nhau. Tin tặc đã chuyển từ sử dụng mã HTML văn bản rõ sang sử dụng nhiều kỹ thuật mã hóa, bao gồm các phương pháp mã hóa cũ và bất thường như mã Morse, để che giấu các phân đoạn tấn công này".
Khi mở tệp đính kèm, một cửa sổ trình duyệt sẽ được khởi chạy. Người dùng được yêu cầu đăng nhập lại vì quyền truy cập của họ vào tài liệu Excel đã hết hạn. Trong trường hợp người dùng nhập mật khẩu, họ sẽ được cảnh báo rằng mật khẩu đã nhập là không chính xác, trong khi đó phần mềm độc hại đã tiến hành thu thập thông tin.
Chiến dịch được cho là đã được lặp lại 10 lần kể từ khi được phát hiện vào tháng 7/2020. Trong đó, tin tặc đã chuyển đổi định kỳ các phương pháp mã hóa để che giấu mã độc của tệp đính kèm HTML và các phân đoạn tấn công khác nhau có trong tệp.
Microsoft cho biết hãng đã phát hiện việc sử dụng mã Morse trong các đợt tấn công vào tháng 2 và tháng 5/2021, trong khi các biến thể sau đó của bộ kit phishing có nhiệm vụ hướng nạn nhân đến trang Office 365 hợp pháp thay vì hiển thị thông báo lỗi giả sau khi nhập mật khẩu.
Các nhà nghiên cứu cho biết thêm, “Các cuộc tấn công bằng email tiếp tục tạo ra những kỹ thuật mới để vượt qua các giải pháp bảo mật email.” Trong trường hợp trên, những kỹ thuật này bao gồm việc sử dụng cơ chế mã hóa và mã hóa nhiều lớp cho các loại tệp hiện có đã biết, chẳng hạn như JavaScript. Việc xáo trộn nhiều lớp trong HTML cũng có thể trốn tránh các giải pháp bảo mật của trình duyệt".
M.H
13:00 | 04/08/2021
11:00 | 02/08/2021
17:00 | 09/08/2021
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024