Karthickkumar Kathiresan, nhà nghiên cứu bảo mật của Uptycs cho biết: “Phần mềm độc hại này đánh cắp thông tin nhạy cảm như thông tin hệ thống, ví tiền điện tử, lịch sử trình duyệt, cookie và thông tin đăng nhập của ví tiền điện tử từ máy nạn nhân”.
Chi tiết về chiến dịch này được tiết lộ lần đầu tiên bởi công ty dịch vụ công nghệ thông tin SI.net có trụ sở tại Milan vào tháng trước.
Cụ thể, trình tự lây nhiễm mã độc sẽ diễn ra trong nhiều giai đoạn, bắt đầu bằng một email lừa đảo có chủ đề hóa đơn có chứa một liên kết mà khi được nhấp vào sẽ tải xuống tệp lưu trữ ZIP được bảo vệ bằng mật khẩu, tệp này chứa hai tệp: một tệp tin lối tắt (.LNK) và một tệp tin batch (.BAT).
Quy trình lây nhiễm phần mềm độc hại
Khi đó, bất kể tệp nào được khởi chạy, chuỗi tấn công vẫn diễn ra giống nhau, vì việc mở tệp tin lối tắt sẽ tìm kiếm và nạp cùng một tập lệnh được thiết kế để cài đặt phần mềm đánh cắp thông tin từ kho lưu trữ GitHub. Điều này đạt được bằng cách tận dụng một tệp nhị phân PowerShell hợp pháp cũng được lấy từ GitHub.
Sau khi được cài đặt, phần mềm độc hại được viết bằng ngôn ngữ C# sẽ thu thập siêu dữ liệu hệ thống và thông tin từ hàng chục trình duyệt web (ví dụ: cookie, dấu trang, thẻ tín dụng, nội dung tải xuống và thông tin đăng nhập), cũng như một số ví tiền điện tử, tất cả sẽ được gửi tới một máy chủ để quản lý.
Để giảm thiểu các cuộc tấn công như vậy, các tổ chức được khuyến nghị triển khai các biện pháp kiểm soát bảo mật chặt chẽ, nhiều lớp cũng như các giải pháp bảo mật để xác định và phát hiện phần mềm độc hại.
Phương Thanh ( Theo The Hacker News)
10:00 | 04/01/2023
12:00 | 25/08/2022
08:00 | 04/04/2023
14:00 | 19/07/2022
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024