Theo báo cáo từ bộ phận an ninh mạng Unit 42 của Palo Alto Networks, tin tặc đã giả mạo phần mềm VPN GlobalProtect, đặt quảng cáo trên Google Search để dẫn dụ người dùng truy cập vào những trang web độc hại.
Khi truy cập vào những trang web độc hại này, người dùng sẽ bị lừa tải xuống một trình tải phần mềm có tên WikiLoader, được ngụy trang dưới dạng phần mềm GlobalProtect. Sau đó WikiLoader sẽ tải xuống các mã độc khác, đánh cắp thông tin cũng như cho phép tin tặc kiểm soát thiết bị từ xa.
Các nhà nghiên cứu cho biết đây là hình thức tấn công mạng khá mới của tin tặc, chuyển từ hình thức tấn công lừa đảo (phishing) truyền thống sang dạng thực hiện tấn công thông qua đầu độc (Search Engine Optimization - SEO). Đầu độc SEO có nghĩa là các trang web do kẻ tấn công kiểm soát sẽ xuất hiện trên trang đầu của kết quả tìm kiếm thay vì các sản phẩm hợp pháp. Tin tặc cố gắng thực hiện điều này bằng cách mua quảng cáo hoặc cải thiện thứ hạng trang. Các chuyên gia cảnh báo rằng, việc đầu độc SEO sẽ mở rộng phạm vi nạn nhân tiềm năng và đã quan sát thấy một số tổ chức trong lĩnh vực giáo dục đại học và giao thông vận tải của Hoa Kỳ bị ảnh hưởng bởi WikiLoader.
“Mặc dù SEO poisoning không phải là một kỹ thuật mới, nhưng nó vẫn là một cách hiệu quả để cung cấp một trình tải đến một điểm cuối. Việc giả mạo phần mềm bảo mật đáng tin cậy có thể giúp bỏ qua các biện pháp kiểm soát điểm cuối tại các tổ chức dựa vào danh sách cho phép dựa trên tên tệp”, báo cáo của Unit 42 cho biết.
Proofpoint trước đây đã báo cáo rằng những kẻ tấn công đã sử dụng WikiLoader để phân phối các trojan ngân hàng như Danabot hoặc Ursnif/Gozi đến các tổ chức ở Ý. Những kẻ tấn công đã sử dụng nhiều thủ thuật để tránh bị phát hiện. Tệp mẫu lấy được từ nạn nhân có tên là GlobalProtect64. Tuy nhiên, đó là bản sao được đổi tên của một ứng dụng giao dịch cổ phiếu hợp pháp được sử dụng để tải thành phần WikiLoader đầu tiên. Tệp zip chứa hơn 400 tệp ẩn.
Để ngăn nạn nhân thắc mắc tại sao GlobalProtect không được cài đặt, phần mềm độc hại sẽ hiển thị thông báo lỗi giả rằng DLL bị thiếu sau khi quá trình lây nhiễm hoàn tất. Các phần mềm hợp pháp được đổi tên khác, chẳng hạn như công cụ Microsoft Sysinternals ADInsight.exe đã được ẩn bên trong trình cài đặt để tải các cửa hậu.
Các chuyên gia khuyến cáo người dùng cần thận trọng khi tải xuống phần mềm từ Internet, đặc biệt là từ các kết quả tìm kiếm trên Google. Hãy luôn kiểm tra kỹ nguồn gốc và tính xác thực của trang web trước khi tải bất kỳ tệp tin nào.
Tuệ Minh
21:00 | 29/08/2024
13:00 | 09/10/2024
09:00 | 29/10/2024
13:00 | 21/08/2024
07:00 | 23/09/2024
10:00 | 14/08/2024
12:00 | 03/10/2024
17:00 | 30/08/2024
11:00 | 18/07/2024
10:00 | 06/02/2025
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
09:00 | 30/12/2024
Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025