Chiến dịch spam được Trend Micro phát hiện trong quá trình điều tra các cuộc tấn công ở Trung Đông, với việc phân phối phần mềm độc hại SQUIRRELWAFFLE chưa được biết đến trước đó. Theo quan sát của Cisco Talos, các cuộc tấn công bắt đầu vào giữa tháng 9/2021 thông qua việc phát tán các tài liệu Microsoft Office độc hại.
Các nhà nghiên cứu Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar cho biết: “Việc phát tán phần mềm độc hại bắt đầu bằng việc gửi các email có tài liệu Microsoft Office đính kèm sử dụng kỹ thuật lừa đảo email reply-chain. Reply-chain đề cập đến việc sử dụng nội dung email đã bị đánh cắp trước đó để đưa ra nội dung trả lời phù hợp nhằm đánh lừa người dùng. Để thực hiện được điều này, chúng tôi tin rằng nó liên quan đến việc sử dụng một chuỗi khai thác ProxyLogon và ProxyShell".
ProxyLogon và ProxyShell là một tập hợp các lỗ hổng trong máy chủ Microsoft Exchange có thể cho phép kẻ tấn công nâng cao đặc quyền và thực thi từ xa mã tùy ý, thậm chí kiểm soát hoàn toàn hệ thống. Cả hai lỗ hổng ProxyLogon và ProxyShell đã được Microsoft vá trong các bản vá tháng 3, tháng 5 và tháng 7.
Trend Micro phát hiện các cuộc tấn công thực tế sử dụng các lỗ hổng CVE-2021-26855 (ProxyLogon), CVE-2021-34473 và CVE-2021-34523 (ProxyShell) nhắm vào máy chủ Exchange nhằm đánh cắp các email hợp pháp và gửi các email trả lời độc hại với nội dung phù hợp với các email bị đánh cắp trước đó để tăng mức độ tin tưởng.
Các nhà nghiên cứu cho biết: "Việc gửi thư rác sử dụng kỹ thuật reply-chain sẽ làm giảm khả năng phát hiện cũng như ngăn chặn tấn công vì hệ thống bảo vệ sẽ không thể lọc hoặc tách biệt các email nội bộ". Ngoài việc sử dụng kỹ thuật này, kẻ tấn công không thực hiện bất kỳ hoạt động độc hại nào khác như cài đặt phần mềm độc hại để tránh khỏi sự phát hiện của các phần mềm bảo mật.
Chuỗi tấn công liên quan đến các email giả mạo có chứa một liên kết mà khi được nhấp vào, tệp Microsoft Excel hoặc Word sẽ tự động tải về máy của nạn nhân. Khi tệp này được mở, người dùng sẽ nhận được lời nhắc bật macro, khi đó quá trình tải xuống và thực thi trình tải phần mềm độc hại SQUIRRELWAFFLE được thực hiện. Mục đích cuối cùng là triển khai các mã độc hại như Cobalt Strike và Qbot.
Theo các chuyên gia, chiến dịch SQUIRRELWAFFLE như một lời cảnh báo tới người dùng trước các kỹ thuật tấn công ngày càng tinh vi của tin tặc. Ngoài việc nhận email từ một địa chỉ đáng tin cậy, việc xem xét các liên kết hoặc tệp tính kèm trong email là rất quan trọng.
Phong Thu
Tổng hợp
11:00 | 07/05/2021
15:00 | 29/12/2021
11:00 | 14/04/2021
15:00 | 24/12/2024
Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.
10:00 | 11/12/2024
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025