Cụ thể, một trình tải xuống JavaScript mới đã phát tán các mã độc truy cập từ xa (RAT), trình theo dõi thao tác bàn phím, trình đánh cắp thông tin khác nhau và có khả năng vượt qua sự phát hiện của phần lớn các công cụ bảo mật.
Các nhà nghiên cứu an ninh mạng tại HP lưu ý rằng, mặc dù những người dùng tải xuống JavaScript thường có tỷ lệ phát hiện thấp hơn những trình tải xuống khác, nhưng phần mềm độc hại rất này nguy hiểm vì nó sử dụng một số kỹ thuật để tránh bị phát hiện.
Nhà phân tích Patrick Schlapfer tại HP cho biết: “Phần mềm diệt virus chỉ phát hiện được 11% các phần mềm độc hại này. Do đó, mã độc đã lây nhiễm thành công vào nhiều máy trạm của nạn nhân”.
Schlapfer cho biết thêm rằng, RAT và trình theo dõi thao tác bàn phím hỗ trợ những kẻ tấn công thiết lập cửa hậu vào các máy tính bị nhiễm. Sau đó, các tác nhân thường sử dụng quyền truy cập để đánh cắp thông tin đăng nhập tài khoản người dùng, thông tin ví tiền điện tử".
Chuỗi lây nhiễm bắt đầu bằng việc người dùng nhận được email chứa mã độc trong JavaScript. Khi thực thi, JavaScript sẽ ghi một tệp VBScript - tệp này sẽ tải xuống phần mềm độc hại, trước khi tự xóa. Có ít nhất ba biến thể RATDispenser khác nhau trong ba tháng qua với tổng số 155 mẫu.
Các nhà nghiên cứu cho biết thêm: “Sự đa dạng trong các họ phần mềm độc hại, nhiều trong số đó có thể được mua hoặc tải xuống miễn phí từ các thị trường ngầm. Tác giả của phần mềm độc hại RATDispenser có thể đang hoạt động dưới dạng phần mềm độc hại như một dịch vụ”.
M.H
09:00 | 28/12/2021
16:00 | 30/12/2021
17:00 | 19/11/2021
09:00 | 22/10/2021
17:00 | 29/10/2021
10:00 | 20/01/2022
08:00 | 23/05/2022
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024