Check Point cho biết, tin tặc đưa ra các ưu đãi đặc biệt nhằm quảng bá hàng hóa (thường là phần mềm độc hại hoặc công cụ khai thác) trên các web đen và sử dụng mã giảm giá là "COVID19" hoặc "Coronavirus".
Có thể kể đến: Một số công cụ có sẵn với giá ưu đãi như WinDefender bypass và Build to bypass email and chrome security. Hay một nhóm tin tặc với biệt danh SSHacker cung cấp dịch vụ tấn công vào tài khoản Facebook với mã COVID-19 giảm giá 15%. Còn tin tặc với bí danh True Mac đang rao bán một mẫu MacBook Air 2019 với giá chỉ 390 USD với lý do ưu đãi đặc biệt mùa Corona.
Chỉ trong ba tuần kể từ nửa cuối tháng 2 đến nay, số lượng tên miền mới trung bình tăng gấp gần 10 lần so với các tuần trước đó. Khoảng 0,8% trong số đó là độc hại (93 trang web) và 19% khác là web đáng ngờ (hơn 2.200 trang web).
Các cuộc tấn công mạng được phát hiện trong thời gian gần đây nhằm vào các bệnh viện và trung tâm xét nghiệm. Các chiến dịch lừa đảo phân phối phần mềm độc hại như AZORuIt – trojan đánh cắp mật khẩu, Emotet – trojan tấn công hệ thống ngân hàng, Nanocore RAT – trojan xâm nhập máy tính và TrickBot – một chiến dịch phân phối mã độc thông qua các liên kết, tệp đính kèm hay các phần mềm độc hại. Từ đó, thu lợi từ đại dịch toàn cầu.
Một tổ chức đe dọa nhằm vào quốc phòng, đại sứ quán và chính phủ Ấn Độ do nhà nước Pakistan tài trợ có tên APT36 đã bị phát hiện đang thực hiện một chiến dịch lừa đảo bằng cách sử dụng trang web có liên quan đến Coronavirus. Trang web có nội dung cố vấn y tế nhưng thực chất, nó triển khai công cụ quản trị từ xa Crimson (Crimson Remote Administration Tool – CRAT) nhắm vào các hệ thống được xác định trước.
Các nhà nghiên cứu từ công ty bảo mật IssueMakersLab (trụ sở Hàn Quốc) đã phát hiện ra một chiến dịch mã độc do tin tặc Triều Tiên sử dụng các tài liệu có nội dung về phản ứng của Hàn Quốc đối với dịch covid-19, nhằm đánh lừa người dùng tải về phần mềm độc hại BabyShark. Công ty an ninh mạng Recorded Future (Mỹ) cho biết, có ít nhất 3 trường hợp tấn công liên quan đến covid-19 được tài trợ bởi nhà nước.
Chiến dịch gửi thư rác độc hại liên quan đến covid-19 thường nhắm vào các ngành sản xuất, công nghiệp, tài chính, vận tải, dược phẩm và mỹ phẩm. Chúng dựa trên các tài liệu Microsoft Word về khai thác lỗi tồn tại hơn 2 năm của Microsoft Office trong Equation Editor. Từ đó, cài đặt phần mềm đánh cắp thông tin AZORult. AZORult cũng đã được phát tán bằng cách sử dụng phiên bản lừa đảo của Bản đồ Johns Hopkins về Coronavirus dưới dạng thực thi độc hại.
Một ứng dụng giả mạo trên hệ điều hành Android về theo dõi Coronavirus theo thời gian thực có tên COVID19 Tracker, bị phát hiện lợi dụng quyền người dùng để thay đổi mật khẩu màn hình khóa điện thoại và cài đặt CovidLockransomware. Sau đó, mã độc yêu cầu người dùng tiền chuộc 100 bitcoin để mở khóa dữ liệu.
Một cuộc tấn công lừa đảo khác được phát hiện bởi công ty Abnormal Security (Mỹ) nhắm vào các sinh viên và nhân viên trường đại học với các email giả mạo, đánh cắp thông tin đăng nhập Office 365 bằng cách chuyển hướng các nạn nhân sang trang đăng nhập Office 365 giả mạo.
Một hình thức khác được tin tặc sử dụng phổ biến là tấn công bình luận rác (spam comment) tại các trang web có chứa các liên kết đến website có thông tin Coronavirus. Những trang web này nhìn vô hại, nhưng chúng sẽ chuyển hướng người dùng đến các doanh nghiệp bán thuốc không đáng tin.
Ngoài các thư rác chứa phần mềm độc hại, các nhà nghiên cứu của F-Secure (Hà Lan) đã phát hiện một chiến dịch spam mới lợi dụng sự thiếu hụt khẩu trang để lừa tiền người dùng.
Để đảm bảo an toàn, doanh nghiệp và cá nhân cần lưu ý:
Các doanh nghiệp nên đảm bảo rằng các công nghệ truy cập từ xa an toàn được thực hiện đúng và cấu hình chính xác, sử dụng xác thực đa yếu tố. Giúp nhân viên có thể làm việc một cách an toàn tại nhà.
Các cá nhân nên tránh sử dụng các thiết bị cá nhân trái phép cho công việc. Cảnh giác với email và tệp được từ người gửi chưa xác định. Kiểm tra tính xác thực của địa chỉ người gửi, không mở tệp đính kèm không xác định hay nhấp vào liên kết đáng ngờ, tránh những email yêu cầu chia sẻ dữ liệu nhạy cảm như mật khẩu tài khoản hoặc thông tin ngân hàng.
Bên cạnh đó, cả cá nhân và doanh nghiệp cần cập nhật thông tin từ nguồn đáng tin cậy, các trang web chính phủ về tình hình covid-19.
Trí Công
The hacker news
10:00 | 19/02/2020
10:00 | 25/02/2020
14:00 | 10/02/2020
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024