Hơn 100.000 website cung cấp các tài liệu PDF độc hại

16:00 | 23/04/2021 | LỖ HỔNG ATTT

Một hình thức lừa đảo mới bằng PDF vừa được các chuyên gia bảo mật của eSentire phát hiện. Tội phạm mạng sử dụng các kỹ thuật đầu độc cơ chế tìm kiếm để lừa các nhân sự làm việc trong lĩnh vực kinh doanh truy cập vào các trang Google có vẻ hợp pháp, từ đó cài Trojan truy cập từ xa (RAT) có khả năng thực hiện các cuộc tấn công trên diện rộng.

Hơn 100.000 website cung cấp các tài liệu PDF độc hại

Nhu cầu tìm kiếm các biểu mẫu kinh doanh như hóa đơn, mẫu tài liệu, bảng câu hỏi và biên lai của người dùng là bước đệm giúp hacker xâm nhập vào hệ thống. Khi tải các biểu mẫu này, người dùng sẽ bị điều hướng đến một website độc hại có chứa mã độc mà không hề hay biết.

Các nhà nghiên cứu của eSentire cho biết, nếu mã độc RAT xâm nhập được vào máy của nạn nhân và được kích hoạt, kẻ xấu có thể gửi các lệnh và cài cắm thêm mã độc lên hệ thống, như ransomware, mã độc đánh cắp thông tin đăng nhập, trojan banking hoặc chỉ đơn giản là để RAT “nằm vùng” trong mạng của nạn nhân.

Các chuyên gia đã phát hiện hơn 100.000 trang web có chứa các thuật ngữ kinh doanh hoặc từ khóa phổ biến như biểu mẫu, hóa đơn, biên lai, bảng và sơ yếu lý lịch cho phép các trang này được xếp hạng cao hơn trên kết quả tìm kiếm, do đó tăng khả năng thành công.

Khi nạn nhân truy cập vào website bị tin tặc kiểm soát và tải các tài liệu tìm kiếm về máy sẽ dẫn đến việc cài đặt một mã độc RAT được xây dựng trên nền tảng .NET có tên SolarMaker (hay Yellow Cockatoo, Jupyter và Polazert).

Trong một trường hợp cụ thể là nhân viên của một công ty quản lý tài chính, eSentire cho biết, mã độc ngụy trang dưới dạng một tài liệu PDF, sau đó khởi chạy và triển khai mã độc RAT cùng với phiên bản hợp pháp Slime PDF để che giấu hành vi.

Chuyên gia của eSentire cho biết: “Một tổ chức tội phạm mạng về tài chính có thể chú ý đến một nhân viên làm việc trong một phòng ban hay một tổ chức tài chính, một mục tiêu có giá trị cao. Thật không may, một khi RAT được cài vào máy tính, các nguy cơ tiềm ẩn là rất cao”.

M.H

‹ › ×

Tin liên quan

Tấn công vượt qua xác thực ký số PDF SHADOW ATTACK: Ảnh hưởng và giải pháp ngăn chặn

11:00 | 18/08/2020

Tháng 7/2020, các nhà nghiên cứu từ Đại học Ruhr-Universität Bochum (RUB) của Đức đã công bố một kiểu tấn công mới gọi là SHADOW ATTACK, thực hiện các thao tác tấn công tài liệu trước và sau khi ký số. Kiểu tấn công này có thể vượt qua sự kiểm tra của hầu hết các ứng dụng Viewer PDF hiện nay. Vậy cách tấn công này diễn ra như thế nào? Ảnh hưởng đến các dịch vụ ký số làm sao? Làm thế nào để chống lại các tấn công này? Trong bài báo dưới đây, các chuyên gia của Cục Chứng thực số và Bảo mật thông tin (Ban Cơ yếu Chính phủ) sẽ làm rõ các vấn đề này và đưa ra khuyến nghị, giải pháp khắc phục.

Phát hiện lỗ hổng nghiêm trọng trong phần mềm Foxit Reader

10:00 | 19/05/2021

Aleksander Nikolic, chuyên gia bảo mật của Cisco Talos đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong phần mềm Foxit Reader. Foxit đã tung ra bản vá để khắc phục lỗ hổng này ngay sau khi nhận được thông báo.

Foxit vá lỗ hổng trong sản phẩm PDF Reader và PDF Editor

15:00 | 22/12/2022

Foxit Software vừa tung ra bản vá để khắc phục các lỗ hổng nghiêm trọng dẫn tới thực thi mã từ xa trong các sản phẩm PDF Reader và PDF Editor.

Mối đe doạ từ phần mềm độc hại bằng AI trong tương lai

11:00 | 13/04/2021

Trí tuệ nhân tạo (AI) không chỉ được các nhà bảo mật ứng dụng trong an ninh mạng, mà tin tặc cũng tham gia cuộc đua công nghệ này trong việc phát triển các phần mềm độc hại. Sự kết hợp giữa nghiên cứu và nhắm mục tiêu sẽ khiến phần mềm độc hại bằng AI gây nhiều tác hại lớn. Dưới đây là dự báo một số cách thức mà phần mềm độc hại bằng AI sẽ sử dụng trong tương lai.

Cảnh báo phần mềm độc hại thu thập dữ liệu thiết bị Android

09:00 | 02/04/2021

Mới đây, các nhà nghiên cứu tại zLabs của công ty Zimperium (Hoa Kỳ) đã phát hiện ra phần mềm độc hại mới có khả năng tự ngụy trang dưới dạng Software Update trên thiết bị Android của người dùng.

Tin cùng chuyên mục

Lỗ hổng trong Find My của Apple cho phép theo dõi thiết bị từ xa

13:00 | 05/03/2025

Hệ thống tìm kiếm thiết bị Find My của Apple bị phát hiện tồn tại lỗ hổng nghiêm trọng, cho phép tin tặc biến bất kỳ thiết bị nào, kể cả điện thoại Android, thành một AirTag giả để theo dõi vị trí một cách lén lút. Đến nay, Apple vẫn chưa có giải pháp khắc phục đối với lỗ hổng này.

Tường lửa của Fortinet bị xâm nhập bởi lỗ hổng zero-day

14:00 | 04/02/2025

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.

Mạo danh dịch vụ an ninh và bảo mật của Windows để lừa đảo

22:00 | 30/01/2025

Kênh truyền thông đa phương tiện Fox News tại Mỹ đưa ra cảnh báo về phương thức lừa đảo trực tuyến mới thông qua tin nhắn email giả mạo dịch vụ an ninh và bảo mật của Windows. Mục đích của kẻ tấn công là chiếm quyền điều khiển máy tính của nạn nhân thông qua phần mềm điều khiển từ xa để đánh cắp dữ liệu.

Hiệp hội thời tiết Nhật Bản bị tấn công mạng

12:00 | 14/01/2025

Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.