Cụ thể, các cuộc tấn công sử dụng các chứa tệp HTML ("XLS.HTML") giả mạo biên lai giống các giao dịch kinh doanh liên quan đến tài chính. Mục tiêu cuối cùng là thu thập tên người dùng và mật khẩu sử dụng cho các cuộc tấn công.
Microsoft 365 Defender Threat Intelligence Team cho biết trong một phân tích, "Tệp đính kèm HTML được chia thành nhiều phân đoạn, bao gồm các được sử dụng để đánh cắp mật khẩu, sau đó được mã hóa bằng nhiều cơ chế khác nhau. Tin tặc đã chuyển từ sử dụng mã HTML văn bản rõ sang sử dụng nhiều kỹ thuật mã hóa, bao gồm các phương pháp mã hóa cũ và bất thường như mã Morse, để che giấu các phân đoạn tấn công này".
Khi mở tệp đính kèm, một cửa sổ trình duyệt sẽ được khởi chạy. Người dùng được yêu cầu đăng nhập lại vì quyền truy cập của họ vào tài liệu Excel đã hết hạn. Trong trường hợp người dùng nhập mật khẩu, họ sẽ được cảnh báo rằng mật khẩu đã nhập là không chính xác, trong khi đó phần mềm độc hại đã tiến hành thu thập thông tin.
Chiến dịch được cho là đã được lặp lại 10 lần kể từ khi được phát hiện vào tháng 7/2020. Trong đó, tin tặc đã chuyển đổi định kỳ các phương pháp mã hóa để che giấu mã độc của tệp đính kèm HTML và các phân đoạn tấn công khác nhau có trong tệp.
cho biết hãng đã phát hiện việc sử dụng mã Morse trong các đợt tấn công vào tháng 2 và tháng 5/2021, trong khi các biến thể sau đó của bộ kit phishing có nhiệm vụ hướng nạn nhân đến trang Office 365 hợp pháp thay vì hiển thị thông báo lỗi giả sau khi nhập mật khẩu.
Các nhà nghiên cứu cho biết thêm, “Các cuộc tấn công bằng email tiếp tục tạo ra những kỹ thuật mới để vượt qua các giải pháp bảo mật email.” Trong trường hợp trên, những kỹ thuật này bao gồm việc sử dụng cơ chế mã hóa và mã hóa nhiều lớp cho các loại tệp hiện có đã biết, chẳng hạn như JavaScript. Việc xáo trộn nhiều lớp trong HTML cũng có thể trốn tránh các giải pháp bảo mật của trình duyệt".
M.H
13:00 | 04/08/2021
11:00 | 02/08/2021
17:00 | 09/08/2021
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
16:00 | 27/09/2024
Một chiến dịch quốc tế phối hợp giữa các cơ quan thực thi pháp luật đã thành công trong việc triệt phá một mạng lưới tội phạm tinh vi chuyên mở khóa điện thoại di động bị mất hoặc đánh cắp. Mạng lưới này đã sử dụng nền tảng lừa đảo tự động iServer để đánh cắp thông tin đăng nhập của hàng trăm nghìn nạn nhân trên toàn thế giới.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024