Mẫu Excel được sử dụng bởi các tệp .xlsx trong chiến dịch DarkGate
Những kẻ tấn công sử dụng các tệp Excel lừa đảo với tên có vẻ chính thức, thường sử dụng danh pháp như “paper<NUM>-<DD>-march-2024.xlsx” hoặc “ACH-<NUM>-<DD>March.xlsx,” để dẫn dụ nạn nhân mở chúng. Khi được mở, các tệp độc hại sẽ khởi tạo một chuỗi sự kiện, cuối cùng dẫn đến việc tải xuống và thực thi gói phần mềm độc hại DarkGate.
Chuỗi tấn công bắt đầu bằng việc truy xuất và thực thi mã từ các chia sẻ Samba có thể truy cập công khai. Mã này ẩn trong các tệp VBS hoặc JS, sau đó được tải xuống và chạy một tập lệnh PowerShell, cuối cùng cài đặt phần mềm độc hại DarkGate dựa trên AutoHotKey vào hệ thống của nạn nhân.
Bản thân DarkGate là một phần mềm độc hại tiên tiến với một loạt các tính năng chống phân tích được thiết kế để tránh bị phát hiện. Các tính năng này bao gồm kiểm tra thông tin CPU, sự hiện diện của các chương trình chống phần mềm độc hại và môi trường ảo. Phần mềm độc hại này cũng giải mã dữ liệu cấu hình của nó dựa trên thông tin thu thập được, khiến việc phát hiện và phân tích trở nên khó khăn hơn.
Những kẻ tấn công thậm chí còn sử dụng các kỹ thuật trốn tránh để vượt qua phần mềm bảo mật như Kaspersky. Việc sử dụng các chia sẻ Samba công khai làm cơ chế phân phối làm tăng thêm một lớp phức tạp cho cuộc tấn công, khiến việc theo dõi và giảm thiểu trở nên khó khăn hơn.
DarkGate giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của mình thông qua các yêu cầu HTTP không được mã hóa, sử dụng dữ liệu được mã hóa Base64 và làm cho nó trở nên phức tạp hơn nữa. Kỹ thuật này giúp che giấu bản chất của dữ liệu đang bị rò rỉ, làm phức tạp hóa các nỗ lực phát hiện.
Sự trở lại của DarkGate và các kỹ thuật tấn công ngày càng phát triển của nó gây ra mối đe dọa đáng kể cho cả cá nhân và tổ chức. Người dùng được khuyến cáo nên thận trọng khi mở tệp đính kèm email, ngay cả khi chúng có vẻ đến từ các nguồn đáng tin cậy.
Việc cập nhật phần mềm bảo mật và cảnh giác với mọi hoạt động đáng ngờ trên hệ thống của tổ chức cũng rất quan trọng. Các tổ chức nên xem xét và tăng cường các biện pháp bảo mật của mình để bảo vệ chống lại các mối đe dọa tiên tiến này. Điều này bao gồm triển khai các giải pháp lọc email mạnh mẽ, giám sát lưu lượng mạng để phát hiện hoạt động bất thường và giáo dục, đào tạo kỹ năng ứng phó cho nhân viên trước mối nguy hiểm của các cuộc tấn công lừa đảo và kỹ nghệ xã hội.
Thanh Bình
(theo securityonline)
14:00 | 29/07/2024
07:00 | 08/04/2024
09:00 | 27/10/2023
14:00 | 07/08/2024
15:00 | 30/07/2024
13:00 | 13/08/2024
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
15:00 | 18/09/2024
Công ty an ninh mạng McAfee thông báo đã phát hiện 280 ứng dụng Android giả mà đối tượng lừa đảo dùng để truy cập ví tiền ảo.
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024