Theo Diana Lopera, chuyên gia an ninh mạng của Microsoft cho biết, việc ẩn giấu dưới các tệp Trợ giúp biên dịch HTML của Microsoft sẽ giúp cho phần mềm gián điệp này không bị phát hiện trong các chiến dịch thư rác.
Vidar được biết đến là phần mềm gián điệp trên hệ điều hành Windows và cũng là phần mềm đánh cắp thông tin sẵn có mà tội phạm mạng có thể mua. Phần mềm này có thể thu thập dữ liệu hệ điều hành và người dùng, dịch vụ trực tuyến, thông tin tài khoản tiền điện tử cũng như thông tin thẻ tín dụng.
Thông thường, phần mềm này được phát tán thông qua các chiến dịch thư rác và lừa đảo. Tuy nhiên mới đây, các nhà nghiên cứu đã phát hiện thấy phần mềm độc hại C++ này cũng được phân phối thông qua bộ tải từng phần PrivateLoader và bộ công cụ khai thác Fallout.
Theo Trustwave, chiến dịch email phân phối Vidar hiện chưa quá tinh vi. Các email loại này thường chứa dòng chủ đề chung và tệp đính kèm "request.doc", thực chất là một hình ảnh đĩa .iso.
Các đuôi .iso thường chứa hai tệp: tệp Trợ giúp biên dịch HTML (CHM) của Microsoft (pss10r.chm) và tệp thực thi (app.exe).
Định dạng CHM là một tệp mở rộng trực tuyến của Microsoft để truy cập các tệp tài liệu và trợ giúp, đồng thời định dạng HTML nén có thể chứa văn bản, hình ảnh, bảng và liên kết - khi được sử dụng hợp pháp. Tuy nhiên, khi kẻ tấn công khai thác CHM, chúng có thể sử dụng định dạng để buộc Microsoft Help Viewer (hh.exe) tải các đối tượng CHM.
Khi một tệp CHM độc hại được giải nén, một đoạn mã JavaScript sẽ âm thầm chạy app.exe và khi cả hai tệp phải nằm trong cùng một thư mục, điều này có thể kích hoạt việc thực thi tải trọng Vidar.
Nhóm nghiên cứu đã thu được các mẫu Vidar được kết nối với máy chủ C&C thông qua Mastodon - một hệ thống mạng xã hội mã nguồn mở đa nền tảng. Các hồ sơ cụ thể được tìm kiếm và địa chỉ C&C được lấy từ các phần tiểu sử hồ sơ người dùng.
Điều này cho phép phần mềm độc hại thiết lập cấu hình của nó và bắt đầu thu thập dữ liệu người dùng. Ngoài ra, Vidar đã được quan sát thấy đang tải xuống và thực thi thêm các phần mềm độc hại khác.
Email lừa đảo có thể bao gồm những thông điệp chung cho đến những email đã được nhắm mục tiêu và được thiết kế phù hợp để lôi kéo nạn nhân. Những kẻ lừa đảo luôn phát triển liên tục những cách mới để xâm nhập vào hệ thống, từ việc sử dụng mạng botnet để tự đưa vào chat email hiện có trong doanh nghiệp, đến sử dụng mã QR hoặc tệp add-in Microsoft Excel XLL để phát tán phần mềm độc hại.
Theo quan sát của Trend Micro vào năm 2019 thì các tệp thường được giả mạo thành các định dạng khác trong thư lừa đảo, trong đó tệp .iso có thể được sử dụng làm nơi chứa phần mềm độc hại bao gồm LokiBot và NanoCore.
Để giảm nguy cơ bị lừa bởi kỹ thuật .iso, người dùng phải luôn cảnh giác với bất kỳ email nào chứa tài liệu lạ, cũng như không nên tải xuống hoặc mở tệp trừ khi đã xác minh được người gửi và địa chỉ email.
Karl Sigler, Giám đốc tình báo về mối đe dọa Trustwave nhận xét: “Vì chiến dịch Vidar này sử dụng kỹ thuật xã hội và lừa đảo, nên việc thường xuyên đào tạo nhận thức về bảo mật cho nhân viên là rất cần thiết. Các tổ chức cũng nên xem xét triển khai cổng email an toàn để bảo mật theo lớp “phòng thủ theo chiều sâu” nhằm lọc các loại tấn công lừa đảo này trước khi chúng truy cập vào bất kỳ hộp thư đến nào”.
Bản thân Vidar là một loại phần mềm “đánh cắp thông tin”. Do đó khi tiếp xúc với hệ thống của nạn nhân thì sẽ tiến hành thu thập càng nhiều dữ liệu có thể để gửi cho kẻ tấn công, sau đó tự xóa. Các dữ liệu này bao gồm mọi kho lưu trữ mật khẩu cục bộ, cookie của trình duyệt web, ví điện tử, cơ sở dữ liệu liên hệ và các loại dữ liệu có giá trị tiềm năng khác.
Phạm Hoàng Nam (Theo ZDnet)
09:00 | 17/03/2022
15:00 | 15/03/2022
13:00 | 10/03/2022
14:00 | 25/04/2024
Ngày 18/4, Meta thông báo triển khai trợ lý AI thông minh nhất hiện nay - Meta AI miễn phí cho các nền tảng của mình. Theo CEO Meta Mark Zuckerberg, trợ lý có thể trả lời câu hỏi, tạo hình ảnh cho người dùng. Meta AI được xây dựng dựa trên mô hình ngôn ngữ lớn mới nhất của hãng mang tên Llama 3.
17:00 | 01/04/2024
Sáng ngày 01/4, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã trao quyết định bổ nhiệm Phó Tổng Biên tập Tạp chí An toàn thông tin cho đồng chí Đỗ Thục Anh.
14:00 | 26/03/2024
Người dùng và các nhà phát triển đã vô tình tiết lộ khoảng 12,8 triệu dữ liệu bí mật và khóa xác thực nhạy cảm trên GitHub vào năm 2023, tăng 28% so với năm 2022.
09:00 | 05/01/2024
Là cơ sở hạ tầng quan trọng kết nối thông tin toàn cầu, việc nắm giữ khả năng cung cấp cáp thông tin dưới biển (Submarine Communications Cables) hay cáp quang biển (Submarine Optical Fiber Cable) phần nào thể hiện trình độ phát triển thông tin liên lạc và năng lực cạnh tranh toàn cầu của một quốc gia. Bài báo này tập trung phân tích sự cạnh tranh giữa Mỹ - Trung Quốc trong việc xây dựng, phát triển và cung cấp cáp quang biển trên bình diện toàn cầu.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
