Mẫu Excel được sử dụng bởi các tệp .xlsx trong chiến dịch DarkGate
Những kẻ tấn công sử dụng các tệp Excel lừa đảo với tên có vẻ chính thức, thường sử dụng danh pháp như “paper<NUM>-<DD>-march-2024.xlsx” hoặc “ACH-<NUM>-<DD>March.xlsx,” để dẫn dụ nạn nhân mở chúng. Khi được mở, các tệp độc hại sẽ khởi tạo một chuỗi sự kiện, cuối cùng dẫn đến việc tải xuống và thực thi gói phần mềm độc hại DarkGate.
Chuỗi tấn công bắt đầu bằng việc truy xuất và thực thi mã từ các chia sẻ Samba có thể truy cập công khai. Mã này ẩn trong các tệp VBS hoặc JS, sau đó được tải xuống và chạy một tập lệnh PowerShell, cuối cùng cài đặt phần mềm độc hại DarkGate dựa trên AutoHotKey vào hệ thống của nạn nhân.
Bản thân DarkGate là một phần mềm độc hại tiên tiến với một loạt các tính năng chống phân tích được thiết kế để tránh bị phát hiện. Các tính năng này bao gồm kiểm tra thông tin CPU, sự hiện diện của các chương trình chống phần mềm độc hại và môi trường ảo. Phần mềm độc hại này cũng giải mã dữ liệu cấu hình của nó dựa trên thông tin thu thập được, khiến việc phát hiện và phân tích trở nên khó khăn hơn.
Những kẻ tấn công thậm chí còn sử dụng các kỹ thuật trốn tránh để vượt qua phần mềm bảo mật như Kaspersky. Việc sử dụng các chia sẻ Samba công khai làm cơ chế phân phối làm tăng thêm một lớp phức tạp cho cuộc tấn công, khiến việc theo dõi và giảm thiểu trở nên khó khăn hơn.
DarkGate giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của mình thông qua các yêu cầu HTTP không được mã hóa, sử dụng dữ liệu được mã hóa Base64 và làm cho nó trở nên phức tạp hơn nữa. Kỹ thuật này giúp che giấu bản chất của dữ liệu đang bị rò rỉ, làm phức tạp hóa các nỗ lực phát hiện.
Sự trở lại của DarkGate và các kỹ thuật tấn công ngày càng phát triển của nó gây ra mối đe dọa đáng kể cho cả cá nhân và tổ chức. Người dùng được khuyến cáo nên thận trọng khi mở tệp đính kèm email, ngay cả khi chúng có vẻ đến từ các nguồn đáng tin cậy.
Việc cập nhật phần mềm bảo mật và cảnh giác với mọi hoạt động đáng ngờ trên hệ thống của tổ chức cũng rất quan trọng. Các tổ chức nên xem xét và tăng cường các biện pháp bảo mật của mình để bảo vệ chống lại các mối đe dọa tiên tiến này. Điều này bao gồm triển khai các giải pháp lọc email mạnh mẽ, giám sát lưu lượng mạng để phát hiện hoạt động bất thường và giáo dục, đào tạo kỹ năng ứng phó cho nhân viên trước mối nguy hiểm của các cuộc tấn công lừa đảo và kỹ nghệ xã hội.
Thanh Bình
(theo securityonline)
14:00 | 29/07/2024
07:00 | 08/04/2024
09:00 | 27/10/2023
14:00 | 07/08/2024
15:00 | 30/07/2024
13:00 | 13/08/2024
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
16:00 | 27/11/2024
Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
13:00 | 18/11/2024
Cisco đã xử lý lỗ hổng nghiêm trọng định danh CVE-2024-20418 cho phép kẻ tấn công thực thi lệnh với quyền root trên các điểm truy cập Ultra-Reliable Wireless Backhaul (URWB) dễ bị tấn công.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025