Tin tặc đã dựa vào việc sử dụng trojan truy cập từ xa để tiến hành các hoạt động gián điệp mạng, qua hình thức gửi email độc hại. Trong hầu hết các trường hợp, những email này có đính kèm tài liệu PDF chứa liên kết mà người dùng cần phải nhấp vào. Các tệp đã tải xuống là các tệp lưu trữ RAR thông thường và có tệp thực thi bên trong. Các tệp này được lưu trữ trong các dịch vụ lưu trữ tệp hợp pháp như OneDrive hoặc MediaFire. Nội dung của email lừa đảo có thể chỉ là thông báo để thực hiện bài test COVID-19, mời dự họp phiên tòa, thông báo nộp phạt giao thông hoặc liên quan đến việc đóng băng tài khoản ngân hàng của người dùng.
Payload được sử dụng trong Chiến dịch Spalax là trojan truy cập từ xa, cung cấp một số khả năng không chỉ để điều khiển từ xa mà còn để theo dõi các hoạt động của người dùng như: ghi lại thao tác bàn phím, chụp ảnh màn hình, chiếm quyền điều khiển clipboard, truy cập tệp, có khả năng tải xuống và thực thi phần mềm độc hại khác.
“ESET đã quan sát thấy có ít nhất 24 địa chỉ IP khác nhau được sử dụng trong khoảng thời gian nửa cuối năm 2020. Đây có thể là những thiết bị bị xâm nhập hoạt động như proxy cho các máy chủ C&C. Cùng với việc sử dụng các dịch vụ DNS động, cơ sở hạ tầng của chúng luôn bất động", Matías Porolli, một nhà nghiên cứu của ESET đã điều tra Chiến dịch Spalax cho biết.
Các nhà nghiên cứu cũng tìm ra ít nhất 70 tên miền hoạt động vào nửa cuối năm 2020 và chiến dịch thường xuyên đăng ký tên miền mới.
Các cuộc tấn công bằng phần mềm độc hại nhắm mục tiêu tại Colombia đã được mở rộng kể từ năm 2019. Cho tới nay đã có sự thay đổi từ một chiến dịch với một số ít máy chủ C&C và tên miền thành một chiến dịch có cơ sở hạ tầng rất lớn và thay đổi nhanh chóng với hàng trăm tên miền được sử dụng.
Nguyễn Chân
(theo Security Magazine)
16:00 | 11/12/2020
10:00 | 11/05/2020
09:00 | 02/12/2020
08:00 | 17/05/2024
Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.
10:00 | 14/05/2024
Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024