Theo Diana Lopera, chuyên gia an ninh mạng của Microsoft cho biết, việc ẩn giấu dưới các tệp Trợ giúp biên dịch HTML của Microsoft sẽ giúp cho phần mềm gián điệp này không bị phát hiện trong các chiến dịch thư rác.
Vidar được biết đến là phần mềm gián điệp trên hệ điều hành Windows và cũng là phần mềm đánh cắp thông tin sẵn có mà tội phạm mạng có thể mua. Phần mềm này có thể thu thập dữ liệu hệ điều hành và người dùng, dịch vụ trực tuyến, thông tin tài khoản tiền điện tử cũng như thông tin thẻ tín dụng.
Thông thường, phần mềm này được phát tán thông qua các chiến dịch thư rác và lừa đảo. Tuy nhiên mới đây, các nhà nghiên cứu đã phát hiện thấy phần mềm độc hại C++ này cũng được phân phối thông qua bộ tải từng phần PrivateLoader và bộ công cụ khai thác Fallout.
Theo Trustwave, chiến dịch email phân phối Vidar hiện chưa quá tinh vi. Các email loại này thường chứa dòng chủ đề chung và tệp đính kèm "request.doc", thực chất là một hình ảnh đĩa .iso.
Các đuôi .iso thường chứa hai tệp: tệp Trợ giúp biên dịch HTML (CHM) của Microsoft (pss10r.chm) và tệp thực thi (app.exe).
Định dạng CHM là một tệp mở rộng trực tuyến của Microsoft để truy cập các tệp tài liệu và trợ giúp, đồng thời định dạng HTML nén có thể chứa văn bản, hình ảnh, bảng và liên kết - khi được sử dụng hợp pháp. Tuy nhiên, khi kẻ tấn công khai thác CHM, chúng có thể sử dụng định dạng để buộc Microsoft Help Viewer (hh.exe) tải các đối tượng CHM.
Khi một tệp CHM độc hại được giải nén, một đoạn mã JavaScript sẽ âm thầm chạy app.exe và khi cả hai tệp phải nằm trong cùng một thư mục, điều này có thể kích hoạt việc thực thi tải trọng Vidar.
Nhóm nghiên cứu đã thu được các mẫu Vidar được kết nối với máy chủ C&C thông qua Mastodon - một hệ thống mạng xã hội mã nguồn mở đa nền tảng. Các hồ sơ cụ thể được tìm kiếm và địa chỉ C&C được lấy từ các phần tiểu sử hồ sơ người dùng.
Điều này cho phép phần mềm độc hại thiết lập cấu hình của nó và bắt đầu thu thập dữ liệu người dùng. Ngoài ra, Vidar đã được quan sát thấy đang tải xuống và thực thi thêm các phần mềm độc hại khác.
Email lừa đảo có thể bao gồm những thông điệp chung cho đến những email đã được nhắm mục tiêu và được thiết kế phù hợp để lôi kéo nạn nhân. Những kẻ lừa đảo luôn phát triển liên tục những cách mới để xâm nhập vào hệ thống, từ việc sử dụng mạng botnet để tự đưa vào chat email hiện có trong doanh nghiệp, đến sử dụng mã QR hoặc tệp add-in Microsoft Excel XLL để phát tán phần mềm độc hại.
Theo quan sát của Trend Micro vào năm 2019 thì các tệp thường được giả mạo thành các định dạng khác trong thư lừa đảo, trong đó tệp .iso có thể được sử dụng làm nơi chứa phần mềm độc hại bao gồm LokiBot và NanoCore.
Để giảm nguy cơ bị lừa bởi kỹ thuật .iso, người dùng phải luôn cảnh giác với bất kỳ email nào chứa tài liệu lạ, cũng như không nên tải xuống hoặc mở tệp trừ khi đã xác minh được người gửi và địa chỉ email.
Karl Sigler, Giám đốc tình báo về mối đe dọa Trustwave nhận xét: “Vì chiến dịch Vidar này sử dụng kỹ thuật xã hội và lừa đảo, nên việc thường xuyên đào tạo nhận thức về bảo mật cho nhân viên là rất cần thiết. Các tổ chức cũng nên xem xét triển khai cổng email an toàn để bảo mật theo lớp “phòng thủ theo chiều sâu” nhằm lọc các loại tấn công lừa đảo này trước khi chúng truy cập vào bất kỳ hộp thư đến nào”.
Bản thân Vidar là một loại phần mềm “đánh cắp thông tin”. Do đó khi tiếp xúc với hệ thống của nạn nhân thì sẽ tiến hành thu thập càng nhiều dữ liệu có thể để gửi cho kẻ tấn công, sau đó tự xóa. Các dữ liệu này bao gồm mọi kho lưu trữ mật khẩu cục bộ, cookie của trình duyệt web, ví điện tử, cơ sở dữ liệu liên hệ và các loại dữ liệu có giá trị tiềm năng khác.
Phạm Hoàng Nam (Theo ZDnet)
09:00 | 17/03/2022
15:00 | 15/03/2022
13:00 | 10/03/2022
16:00 | 04/09/2024
Lần đầu tiên công chúng cả nước được tìm hiểu sâu hơn về ngành Cơ yếu, một ngành cơ mật đặc biệt, thông qua chương trình nghệ thuật “Vinh quang thầm lặng 2024”. Đây là chương trình nghệ thuật có ý nghĩa đặc biệt nhằm vinh danh những thành tựu, sự cống hiến thầm lặng của ngành Cơ yếu Việt Nam trong suốt quá trình hình thành và phát triển, là sự kiện mở đầu cho chuỗi các hoạt động hướng tới Kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025).
10:00 | 16/08/2024
Ngày 15/8, tại Hà Nội, Hội thảo "Tiêu chuẩn an ninh dữ liệu trong nước và Quốc tế: Nghị định 13 và PCI DSS" do CMC Cyber Security tổ chức đã diễn ra thành công tốt đẹp và thu hút sự tham gia đông đảo của các chuyên gia, lãnh đạo doanh nghiệp, đại diện các tổ chức và cơ quan quản lý nhà nước quan tâm đến lĩnh vực an ninh dữ liệu.
14:00 | 01/08/2024
Xin kính chào quý vị và các bạn đang theo dõi bản tin podcast Ngày này năm xưa của Tạp chí An toàn thông tin điện tử. Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 01 tháng 8 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
08:00 | 29/07/2024
Bản tin podcast ngày hôm nay kính mời quý vị cùng điểm lại những dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 29 tháng 7 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
Chương trình nghệ thuật “Vinh quang thầm lặng 2024” đã kết thúc, nhưng những xúc cảm vẫn còn lắng đọng trong tâm hồn khán giả.
10:00 | 10/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Chính phủ Úc cho biết nước này có kế hoạch đưa ra các quy tắc quản lý trí tuệ nhân tạo (AI) trong bối cảnh các công cụ AI đang được triển khai nhanh chóng bởi các doanh nghiệp và trong cuộc sống hàng ngày.
07:00 | 10/09/2024