Theo nhóm bảo mật của Microsoft, chiến dịch này hiện đang tận dụng một hướng tấn công phát tán thư rác hàng loạt bằng các email có chứa tệp PDF độc hại đính kèm. "Những kẻ tấn công đã sử dụng các tài khoản email bị xâm nhập để thực hiện chiến dịch tấn công bằng email”, Microsoft cho biết trên Twitter. “Các email chứa một tệp đính kèm có vẻ là một file PDF nhưng khi mở ra, nó được kết nối với một tên miền độc hại để tải xuống phần mềm độc hại STRRAT.”
Nội dung email giả mạo
Được phát hiện lần đầu tiên vào tháng 6/2020, STRRAT là một trojan truy cập từ xa (RAT) có thể hoạt động như một cửa hậu trên các máy chủ bị nhiễm.
Theo phân tích kỹ thuật của công ty bảo mật G DATA (Đức), RAT có nhiều tính năng khác nhau, từ khả năng lấy cắp thông tin đăng nhập đến khả năng giả mạo các tệp cục bộ.
Nhà phân tích phần mềm độc hại Karsten Hahn của G DATA cho biết, STRRAT có thể kết xuất và lấy cắp thông tin đăng nhập từ các trình duyệt và ứng dụng email như: Firefox, Internet Explorer, Chrome, Foxmail, Outlook và Thunderbird.
STRRAT cũng có thể chạy các lệnh shell hoặc PowerShell tùy chỉnh nhận được từ máy chủ điều khiển, khiến kẻ tấn công có toàn quyền kiểm soát máy chủ bất kỳ lúc nào.
Nếu kẻ tấn công không muốn tương tác với máy chủ bị nhiễm thông qua một máy chủ trung gian, chúng cũng có tùy chọn sử dụng STRRAT để cài đặt RDWrap, một công cụ mã nguồn mở cho phép kẻ tấn công kết nối với máy chủ thông qua giao thức truy cập máy tính từ xa (Remote Desktop Protocol - RDP).
Đặc điểm nổi bật so với hầu hết các chủng RAT khác nhau đó là thói quen mã hóa của STRRAT. “Cái gọi là mã hóa chỉ là đổi tên các tệp bằng cách thêm phần mở rộng .crimson," Hahn cho biết vào năm 2020 khi phân tích STRRAT v1.2.
Điều này có thể vẫn đúng đối với mã độc tống tiền vì các tệp như vậy không thể truy cập bằng cách nhấp đúp. Tuy nhiên, nếu tiện ích mở rộng bị xóa, các tệp có thể được mở như bình thường.
Phiên bản mới nhất của phần mềm độc hại STRRAT dựa trên Java (1.5), được phát hiện trong một chiến dịch email lớn trong tháng 5/2021, bởi hành vi giống như mã độc tống tiền là gắn phần mở rộng tên tệp .crimson vào các tệp mà không thực sự mã hóa chúng. Nhưng trong khi Hahn phân tích STRRAT v1.2, Microsoft cho biết hành vi mã hóa giả mạo này vẫn tồn tại trong STRRAT v1.5.
Các chuyên gia khuyến cáo, người dùng hoặc các công ty khi nhận thấy tệp của dữ liệu được mã hóa bằng phần mở rộng .crimson, thì cần xóa phần mở rộng này. Việc này nên được thực hiện trước trên một tệp thử nghiệm, vì các chủng mã độc tống tiền khác cũng có thể đang sử dụng phần mở rộng này. Nếu các tệp có thể được mở sau khi xóa phần mở rộng .crimson, thì rất có thể máy tính đã bị nhiễm STRRAT và việc lây nhiễm sẽ cần được chuyên gia bảo mật giải quyết.
Quốc Trung
(theo Therecord.media)
08:00 | 12/10/2017
15:00 | 11/06/2021
20:00 | 30/06/2021
16:00 | 14/05/2021
10:00 | 10/11/2021
14:00 | 22/02/2022
10:00 | 08/04/2022
08:00 | 03/02/2021
15:00 | 04/04/2024
Chính quyền Đức đã tuyên bố đánh sập một thị trường ngầm bất hợp pháp có tên Nemesis Market chuyên buôn bán các mặt hàng như ma túy, dữ liệu bị đánh cắp và các dịch vụ tội phạm mạng khác.
16:00 | 02/04/2024
Trong quý I/2024, thông qua hệ thống giám sát an toàn thông tin, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ) đã phân tích phát hiện tổng số 32.265 nguy cơ tấn công mạng nhắm vào các mạng công nghệ thông tin trọng yếu, tăng 18,7% so với cùng kỳ năm 2023.
14:00 | 22/03/2024
Chiều 19/3, tại Hà Nội, Viện Khoa học - Công nghệ mật mã (Ban Cơ yếu Chính phủ) tổ chức hội thảo khoa học và sơ kết hoạt động nhóm mật mã lượng tử. Đến dự và chỉ đạo Hội thảo có Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ.
14:00 | 23/02/2024
Nhóm tin tặc mã độc tống tiền BlackCat đã bắt đầu lạm dụng các quy tắc báo cáo sự cố mạng của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để gây áp lực lên các tổ chức từ chối đàm phán thanh toán tiền chuộc. Những kẻ tấn công đã nộp đơn khiếu nại lên SEC đối với một nạn nhân, trong một động thái có thể sẽ trở thành thông lệ sau khi các quy định mới đã có hiệu lực vào giữa tháng 12.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Đoàn Công tác số 8 đi thăm các chiến sĩ và nhân dân trên quần đảo Trường Sa đã thành công tốt đẹp. Hành trình để lại nhiều cảm xúc với các thành viên đoàn công tác nhất là khi tham dự những buổi Lễ đặc biệt như: Lễ Giỗ Tổ Hùng Vương, Lễ dâng hương tưởng niệm các anh hùng liệt sĩ hi sinh khi làm nhiệm vụ trên quần đảo Trường Sa, Lễ chào cờ trên đảo Trường Sa.
11:00 | 26/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
