Karthickkumar Kathiresan, nhà nghiên cứu bảo mật của Uptycs cho biết: “này đánh cắp thông tin nhạy cảm như thông tin hệ thống, ví tiền điện tử, lịch sử trình duyệt, cookie và thông tin đăng nhập của ví tiền điện tử từ máy nạn nhân”.
Chi tiết về chiến dịch này được tiết lộ lần đầu tiên bởi công ty dịch vụ công nghệ thông tin SI.net có trụ sở tại Milan vào tháng trước.
Cụ thể, trình tự lây nhiễm mã độc sẽ diễn ra trong nhiều giai đoạn, bắt đầu bằng một có chủ đề hóa đơn có chứa một liên kết mà khi được nhấp vào sẽ tải xuống tệp lưu trữ ZIP được bảo vệ bằng mật khẩu, tệp này chứa hai tệp: một tệp tin lối tắt (.LNK) và một tệp tin batch (.BAT).
Quy trình lây nhiễm phần mềm độc hại
Khi đó, bất kể tệp nào được khởi chạy, chuỗi tấn công vẫn diễn ra giống nhau, vì việc mở tệp tin lối tắt sẽ tìm kiếm và nạp cùng một tập lệnh được thiết kế để cài đặt phần mềm đánh cắp thông tin từ kho lưu trữ GitHub. Điều này đạt được bằng cách tận dụng một tệp nhị phân PowerShell hợp pháp cũng được lấy từ GitHub.
Sau khi được cài đặt, phần mềm độc hại được viết bằng ngôn ngữ C# sẽ thu thập siêu dữ liệu hệ thống và thông tin từ hàng chục trình duyệt web (ví dụ: cookie, dấu trang, thẻ tín dụng, nội dung tải xuống và thông tin đăng nhập), cũng như một số ví tiền điện tử, tất cả sẽ được gửi tới một máy chủ để quản lý.
Để giảm thiểu các cuộc tấn công như vậy, các tổ chức được khuyến nghị triển khai các biện pháp kiểm soát bảo mật chặt chẽ, nhiều lớp cũng như các giải pháp bảo mật để xác định và phát hiện.
Phương Thanh ( Theo The Hacker News)
10:00 | 04/01/2023
12:00 | 25/08/2022
08:00 | 04/04/2023
14:00 | 19/07/2022
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024