Tin tặc đã dựa vào việc sử dụng trojan truy cập từ xa để tiến hành các hoạt động gián điệp mạng, qua hình thức gửi email độc hại. Trong hầu hết các trường hợp, những email này có đính kèm tài liệu PDF chứa liên kết mà người dùng cần phải nhấp vào. Các tệp đã tải xuống là các tệp lưu trữ RAR thông thường và có tệp thực thi bên trong. Các tệp này được lưu trữ trong các dịch vụ lưu trữ tệp hợp pháp như OneDrive hoặc MediaFire. Nội dung của email lừa đảo có thể chỉ là thông báo để thực hiện bài test COVID-19, mời dự họp phiên tòa, thông báo nộp phạt giao thông hoặc liên quan đến việc đóng băng tài khoản ngân hàng của người dùng.
Payload được sử dụng trong Chiến dịch Spalax là trojan truy cập từ xa, cung cấp một số khả năng không chỉ để điều khiển từ xa mà còn để theo dõi các hoạt động của người dùng như: ghi lại thao tác bàn phím, chụp ảnh màn hình, chiếm quyền điều khiển clipboard, truy cập tệp, có khả năng tải xuống và thực thi phần mềm độc hại khác.
“ESET đã quan sát thấy có ít nhất 24 địa chỉ IP khác nhau được sử dụng trong khoảng thời gian nửa cuối năm 2020. Đây có thể là những thiết bị bị xâm nhập hoạt động như proxy cho các máy chủ C&C. Cùng với việc sử dụng các dịch vụ DNS động, cơ sở hạ tầng của chúng luôn bất động", Matías Porolli, một nhà nghiên cứu của ESET đã điều tra Chiến dịch Spalax cho biết.
Các nhà nghiên cứu cũng tìm ra ít nhất 70 tên miền hoạt động vào nửa cuối năm 2020 và chiến dịch thường xuyên đăng ký tên miền mới.
Các cuộc tấn công bằng phần mềm độc hại nhắm mục tiêu tại Colombia đã được mở rộng kể từ năm 2019. Cho tới nay đã có sự thay đổi từ một chiến dịch với một số ít máy chủ C&C và tên miền thành một chiến dịch có cơ sở hạ tầng rất lớn và thay đổi nhanh chóng với hàng trăm tên miền được sử dụng.
Nguyễn Chân
(theo Security Magazine)
16:00 | 11/12/2020
10:00 | 11/05/2020
09:00 | 02/12/2020
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024