Theo nhóm bảo mật của Microsoft, chiến dịch này hiện đang tận dụng một hướng tấn công phát tán thư rác hàng loạt bằng các email có chứa tệp PDF độc hại đính kèm. "Những kẻ tấn công đã sử dụng các tài khoản email bị xâm nhập để thực hiện chiến dịch tấn công bằng email”, Microsoft cho biết trên Twitter. “Các email chứa một tệp đính kèm có vẻ là một file PDF nhưng khi mở ra, nó được kết nối với một tên miền độc hại để tải xuống phần mềm độc hại STRRAT.”
Nội dung email giả mạo
Được phát hiện lần đầu tiên vào tháng 6/2020, STRRAT là một trojan truy cập từ xa (RAT) có thể hoạt động như một cửa hậu trên các máy chủ bị nhiễm.
Theo phân tích kỹ thuật của công ty bảo mật G DATA (Đức), RAT có nhiều tính năng khác nhau, từ khả năng lấy cắp thông tin đăng nhập đến khả năng giả mạo các tệp cục bộ.
Nhà phân tích phần mềm độc hại Karsten Hahn của G DATA cho biết, STRRAT có thể kết xuất và lấy cắp thông tin đăng nhập từ các trình duyệt và ứng dụng email như: Firefox, Internet Explorer, Chrome, Foxmail, Outlook và Thunderbird.
STRRAT cũng có thể chạy các lệnh shell hoặc PowerShell tùy chỉnh nhận được từ máy chủ điều khiển, khiến kẻ tấn công có toàn quyền kiểm soát máy chủ bất kỳ lúc nào.
Nếu kẻ tấn công không muốn tương tác với máy chủ bị nhiễm thông qua một máy chủ trung gian, chúng cũng có tùy chọn sử dụng STRRAT để cài đặt RDWrap, một công cụ mã nguồn mở cho phép kẻ tấn công kết nối với máy chủ thông qua giao thức truy cập máy tính từ xa (Remote Desktop Protocol - RDP).
Đặc điểm nổi bật so với hầu hết các chủng RAT khác nhau đó là thói quen mã hóa của STRRAT. “Cái gọi là mã hóa chỉ là đổi tên các tệp bằng cách thêm phần mở rộng .crimson," Hahn cho biết vào năm 2020 khi phân tích STRRAT v1.2.
Điều này có thể vẫn đúng đối với mã độc tống tiền vì các tệp như vậy không thể truy cập bằng cách nhấp đúp. Tuy nhiên, nếu tiện ích mở rộng bị xóa, các tệp có thể được mở như bình thường.
Phiên bản mới nhất của phần mềm độc hại STRRAT dựa trên Java (1.5), được phát hiện trong một chiến dịch email lớn trong tháng 5/2021, bởi hành vi giống như mã độc tống tiền là gắn phần mở rộng tên tệp .crimson vào các tệp mà không thực sự mã hóa chúng. Nhưng trong khi Hahn phân tích STRRAT v1.2, Microsoft cho biết hành vi mã hóa giả mạo này vẫn tồn tại trong STRRAT v1.5.
Các chuyên gia khuyến cáo, người dùng hoặc các công ty khi nhận thấy tệp của dữ liệu được mã hóa bằng phần mở rộng .crimson, thì cần xóa phần mở rộng này. Việc này nên được thực hiện trước trên một tệp thử nghiệm, vì các chủng mã độc tống tiền khác cũng có thể đang sử dụng phần mở rộng này. Nếu các tệp có thể được mở sau khi xóa phần mở rộng .crimson, thì rất có thể máy tính đã bị nhiễm STRRAT và việc lây nhiễm sẽ cần được chuyên gia bảo mật giải quyết.
Quốc Trung
(theo Therecord.media)
08:00 | 12/10/2017
15:00 | 11/06/2021
20:00 | 30/06/2021
16:00 | 14/05/2021
10:00 | 10/11/2021
14:00 | 22/02/2022
10:00 | 08/04/2022
08:00 | 03/02/2021
10:00 | 16/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
13:00 | 26/02/2024
OpenAI đã xóa các tài khoản được sử dụng bởi các nhóm tin tặc do nhà nước bảo trợ từ Iran, Triều Tiên, Trung Quốc và Nga, những tài khoản được cho là đang lạm dụng ChatGPT nhằm thực hiện các hành vi độc hại.
08:00 | 24/01/2024
Chiều 22/01, tại Hà Nội, Bộ Tổng Tham mưu Quân đội nhân dân Việt Nam đã tổ chức Hội nghị ngành Cơ yếu Quân đội triển khai nhiệm vụ năm 2024. Thượng tướng Huỳnh Chiến Thắng, Ủy viên Trung ương Đảng, Phó Tổng Tham mưu trưởng Quân đội nhân dân Việt Nam dự và chỉ đạo Hội nghị.
08:00 | 19/01/2024
Các chuyên gia đã phát hiện một chiến dịch phân phối phần mềm độc hại AsyncRAT nhắm mục tiêu vào các hệ thống thông tin cơ sở hạ tầng của Mỹ đã hoạt động trong ít nhất 11 tháng qua, sử dụng hàng trăm mẫu trình tải duy nhất và hơn 100 tên miền độc hại.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024