Cụ thể, các cuộc tấn công sử dụng các email chứa tệp HTML ("XLS.HTML") giả mạo biên lai giống các giao dịch kinh doanh liên quan đến tài chính. Mục tiêu cuối cùng là thu thập tên người dùng và mật khẩu sử dụng cho các cuộc tấn công.
Microsoft 365 Defender Threat Intelligence Team cho biết trong một phân tích, "Tệp đính kèm HTML được chia thành nhiều phân đoạn, bao gồm các tệp JavaScript được sử dụng để đánh cắp mật khẩu, sau đó được mã hóa bằng nhiều cơ chế khác nhau. Tin tặc đã chuyển từ sử dụng mã HTML văn bản rõ sang sử dụng nhiều kỹ thuật mã hóa, bao gồm các phương pháp mã hóa cũ và bất thường như mã Morse, để che giấu các phân đoạn tấn công này".
Khi mở tệp đính kèm, một cửa sổ trình duyệt sẽ được khởi chạy. Người dùng được yêu cầu đăng nhập lại vì quyền truy cập của họ vào tài liệu Excel đã hết hạn. Trong trường hợp người dùng nhập mật khẩu, họ sẽ được cảnh báo rằng mật khẩu đã nhập là không chính xác, trong khi đó phần mềm độc hại đã tiến hành thu thập thông tin.
Chiến dịch được cho là đã được lặp lại 10 lần kể từ khi được phát hiện vào tháng 7/2020. Trong đó, tin tặc đã chuyển đổi định kỳ các phương pháp mã hóa để che giấu mã độc của tệp đính kèm HTML và các phân đoạn tấn công khác nhau có trong tệp.
Microsoft cho biết hãng đã phát hiện việc sử dụng mã Morse trong các đợt tấn công vào tháng 2 và tháng 5/2021, trong khi các biến thể sau đó của bộ kit phishing có nhiệm vụ hướng nạn nhân đến trang Office 365 hợp pháp thay vì hiển thị thông báo lỗi giả sau khi nhập mật khẩu.
Các nhà nghiên cứu cho biết thêm, “Các cuộc tấn công bằng email tiếp tục tạo ra những kỹ thuật mới để vượt qua các giải pháp bảo mật email.” Trong trường hợp trên, những kỹ thuật này bao gồm việc sử dụng cơ chế mã hóa và mã hóa nhiều lớp cho các loại tệp hiện có đã biết, chẳng hạn như JavaScript. Việc xáo trộn nhiều lớp trong HTML cũng có thể trốn tránh các giải pháp bảo mật của trình duyệt".
M.H
13:00 | 04/08/2021
11:00 | 02/08/2021
17:00 | 09/08/2021
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024