Theo nhóm bảo mật của Microsoft, chiến dịch này hiện đang tận dụng một hướng tấn công phát tán thư rác hàng loạt bằng các email có chứa tệp PDF độc hại đính kèm. "Những kẻ tấn công đã sử dụng các tài khoản email bị xâm nhập để thực hiện chiến dịch tấn công bằng email”, Microsoft cho biết trên Twitter. “Các email chứa một tệp đính kèm có vẻ là một file PDF nhưng khi mở ra, nó được kết nối với một tên miền độc hại để tải xuống phần mềm độc hại STRRAT.”
Nội dung email giả mạo
Được phát hiện lần đầu tiên vào tháng 6/2020, STRRAT là một trojan truy cập từ xa (RAT) có thể hoạt động như một cửa hậu trên các máy chủ bị nhiễm.
Theo phân tích kỹ thuật của công ty bảo mật G DATA (Đức), RAT có nhiều tính năng khác nhau, từ khả năng lấy cắp thông tin đăng nhập đến khả năng giả mạo các tệp cục bộ.
Nhà phân tích phần mềm độc hại Karsten Hahn của G DATA cho biết, STRRAT có thể kết xuất và lấy cắp thông tin đăng nhập từ các trình duyệt và ứng dụng email như: Firefox, Internet Explorer, Chrome, Foxmail, Outlook và Thunderbird.
STRRAT cũng có thể chạy các lệnh shell hoặc PowerShell tùy chỉnh nhận được từ máy chủ điều khiển, khiến kẻ tấn công có toàn quyền kiểm soát máy chủ bất kỳ lúc nào.
Nếu kẻ tấn công không muốn tương tác với máy chủ bị nhiễm thông qua một máy chủ trung gian, chúng cũng có tùy chọn sử dụng STRRAT để cài đặt RDWrap, một công cụ mã nguồn mở cho phép kẻ tấn công kết nối với máy chủ thông qua giao thức truy cập máy tính từ xa (Remote Desktop Protocol - RDP).
Đặc điểm nổi bật so với hầu hết các chủng RAT khác nhau đó là thói quen mã hóa của STRRAT. “Cái gọi là mã hóa chỉ là đổi tên các tệp bằng cách thêm phần mở rộng .crimson," Hahn cho biết vào năm 2020 khi phân tích STRRAT v1.2.
Điều này có thể vẫn đúng đối với mã độc tống tiền vì các tệp như vậy không thể truy cập bằng cách nhấp đúp. Tuy nhiên, nếu tiện ích mở rộng bị xóa, các tệp có thể được mở như bình thường.
Phiên bản mới nhất của phần mềm độc hại STRRAT dựa trên Java (1.5), được phát hiện trong một chiến dịch email lớn trong tháng 5/2021, bởi hành vi giống như mã độc tống tiền là gắn phần mở rộng tên tệp .crimson vào các tệp mà không thực sự mã hóa chúng. Nhưng trong khi Hahn phân tích STRRAT v1.2, Microsoft cho biết hành vi mã hóa giả mạo này vẫn tồn tại trong STRRAT v1.5.
Các chuyên gia khuyến cáo, người dùng hoặc các công ty khi nhận thấy tệp của dữ liệu được mã hóa bằng phần mở rộng .crimson, thì cần xóa phần mở rộng này. Việc này nên được thực hiện trước trên một tệp thử nghiệm, vì các chủng mã độc tống tiền khác cũng có thể đang sử dụng phần mở rộng này. Nếu các tệp có thể được mở sau khi xóa phần mở rộng .crimson, thì rất có thể máy tính đã bị nhiễm STRRAT và việc lây nhiễm sẽ cần được chuyên gia bảo mật giải quyết.
Quốc Trung
(theo Therecord.media)
08:00 | 12/10/2017
15:00 | 11/06/2021
20:00 | 30/06/2021
16:00 | 14/05/2021
10:00 | 10/11/2021
14:00 | 22/02/2022
10:00 | 08/04/2022
08:00 | 03/02/2021
22:00 | 30/01/2025
Nhân dịp Xuân mới Ất Tỵ 2025, Tạp chí An toàn thông tin trân trọng gửi lời chúc mừng năm mới và lời cảm ơn sâu sắc nhất tới Lãnh đạo Ban Cơ yếu Chính phủ, Lãnh đạo các Bộ, ban, ngành Trung ương và địa phương, các cơ quan, đơn vị, hiệp hội, tổ chức, doanh nghiệp, cùng quý bạn đọc và cộng tác viên đã đồng hành, ủng hộ để Tạp chí hoàn thành tốt nhiệm vụ và có những bước phát triển mới trong năm qua.
10:00 | 24/12/2024
Ủy ban châu Âu đã vào cuộc điều tra TikTok với cáo buộc vi phạm luật Dịch vụ kỹ thuật số (DSA), có thể ảnh hưởng đến hoạt động của nền tảng này tại châu Âu.
15:00 | 17/12/2024
Nhà chức trách Pháp đã phạt Orange, nhà mạng lớn nhất của nước này 50 triệu Euro (53 triệu USD) do gửi quảng cáo không mong muốn cho hàng triệu khách hàng dưới hình thức thư điện tử (email).
11:00 | 05/12/2024
Trong 02 ngày 03 - 04/12/2024, tại Học viện Kỹ thuật mật mã, đã diễn ra Hội thảo khoa học quốc tế về mật mã và an toàn thông tin lần thứ nhất (VCRIS 2024). Đây là một diễn đàn học thuật, một sự kiện quốc tế đầu tiên tại Việt Nam về lĩnh vực mật mã và an toàn thông tin, thu hút được sự chú ý đặc biệt của các nhà khoa học, nhà nghiên cứu, các nghiên cứu sinh trong lĩnh vực này.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025