Nhà nghiên cứu Cara Lin của Fortinet cho biết: Mã độc bao gồm một số mô-đun hoạt động thông qua dịch vụ FTP. EvilExtractor chứa các chức năng kiểm tra môi trường và Anti-VM. Dường như mục tiêu của là đánh cắp dữ liệu trình duyệt và thông tin từ các điểm cuối bị xâm nhập, sau đó tải lên máy chủ FTP của kẻ tấn công.
Fortinet cho biết, hãng nhận thấy có sự gia tăng các cuộc tấn công phát tán EvilExtractor vào tháng 3/2023 hầu hết ở Châu Âu và Hoa Kỳ.
Tháng 10/2022, EvilExtractor đã được rao bán trên diễn đàn tội phạm mạng Cracked bởi một người tên Kodex. Mã độc liên tục được cập nhật, tích hợp nhiều mô-đun khác nhau để đánh cắp thông tin hệ thống, mật khẩu và cookie từ các trình duyệt web, ghi lại các lần nhấn phím (record keystrokes) và có thể hoạt động như một phần mềm tống tiền bằng cách mã hóa các tập tin trên hệ thống mục tiêu.
này được cho là đã được sử dụng trong một chiến dịch email lừa đảo được phát hiện vào ngày 30/3. Trong chiến dịch này, kẻ tấn công gửi các email lừa người nhận khởi chạy một tệp thực thi giả mạo tài liệu PDF với lời đề nghị xác nhận chi tiết tài khoản.
Cụ thể, tệp tin "Account_Info.exe" là một chương trình Python bị xáo trộn được tạo để khởi chạy EvilExtractor. Ngoài việc thu thập các tập tin, mã độc còn có thể kích hoạt webcam và chụp ảnh màn hình trên hệ thống mục tiêu.
Gần đây, những kẻ tấn công có xu hướng sử dụng kỹ thuật tấn công SEO và quảng cáo phát tán mã độc để chuyển hướng người dùng tìm kiếm trên các công cụ phổ biến như ChatGPT, Cisco AnyConnect, Citrix Workspace và Zoom tới các trang web giả mạo lưu trữ các bản cài đặt bị nhiễm mã độc. Nguyên nhân là do Microsoft đã bắt đầu chặn macro theo mặc định trong các tệp Office được tải xuống từ trên Internet.
Các tổ chức cần đảm bảo rằng các bản cập nhật và cài đặt phần mềm chỉ được tải xuống từ các trang web đáng tin cậy. Ngoài ra, người dùng không có đặc quyền thì không nên tự cài đặt phần mềm hoặc chạy các tập lệnh trên máy tính để giảm thiểu những rủi ro về an ninh mạng.
M.H
09:00 | 25/04/2023
16:00 | 29/05/2023
09:00 | 07/06/2023
07:00 | 24/04/2023
08:00 | 22/03/2023
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
14:00 | 02/07/2024
Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).
09:00 | 21/05/2024
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024