Các nhà nghiên cứu cho biết: "Các trình tải đó được đặt tên là MalVirt, sử dụng ảo hóa đã được xáo trộn để chống phân tích và tránh bị phát hiện cùng với bộ cài Windows Process Explorer".
Việc chuyển sang chiến dịch quảng cáo độc hại lợi dụng Google là ví dụ mới nhất về cách tin tặc tìm ra các phương thức khác để phát tán mã độc kể từ khi Microsoft công bố kế hoạch chặn việc thực thi macro trong Office theo mặc định trong các tệp được tải xuống từ Internet. Quảng cáo độc hại đã phải sử dụng cách thức thông qua các công cụ tìm kiếm với hy vọng lừa người dùng đang tìm kiếm các phần mềm phổ biến như Blender và sẽ vô tình tải xuống trojan độc hại.
MalVirt được triển khai trong trình cài đặt .NET sử dụng trình bảo vệ ảo hóa KoiVM hợp pháp cho các ứng dụng .NET để che giấu hành vi của chúng và phát tán mã độc FormBook. Bên cạnh việc kết hợp các kỹ thuật chống phân tích cùng với chống phát hiện để tránh thực thi trong máy ảo hoặc môi trường sandbox ứng dụng, các trình cài đặt được phát hiện đã sử dụng một phiên bản KoiVM sửa đổi, bổ sung các lớp che giấu nhằm khiến việc giải mã trở nên khó khăn hơn.
Cả FormBook và chủng loại mới của nó là Xloader đều triển khai nhiều tính năng như ghi nhật ký bàn phím, đánh cắp ảnh chụp màn hình, thu thập thông tin đăng nhập web và các thông tin đăng nhập khác cũng như dàn dựng phần mềm độc hại bổ sung.
Quảng cáo độc hại được giả mạo dưới hình thức là phần mềm phổ biến Blender
Các nhà nghiên cứu cho biết: “Để đối phó với việc Microsoft chặn macro Office theo mặc định trong các tài liệu từ Internet, tin tặc đã chuyển sang các phương pháp phát tán phần mềm độc hại thay thế và gần đây nhất là quảng cáo độc hại. Từ đó cho thấy tin tặc đang đầu tư nhiều nỗ lực vào việc tránh bị phát hiện và ngăn chặn phân tích".
Trong vài tháng qua, các nhà nghiên cứu đã nhận thấy việc lạm dụng quảng cáo tìm kiếm của Google để phát tán các phần mềm độc hại ngày càng tăng, bao gồm IcedID, Raccoon, Rhadamanthys và Vidar. Họ cũng cho rằng có khả năng tin tặc đã bắt đầu bán quảng cáo độc hại như một dịch vụ trên web đen.
Các phát hiện được đưa ra hai tháng sau khi phòng thí nghiệm bảo mật K7 có trụ sở tại Ấn Độ trình bày chi tiết về một chiến dịch lừa đảo sử dụng một trình cài đặt .NET để loại bỏ Remcos RAT và Agent Tesla bằng công nghệ ảo hóa KoiVM. Mới đây nhất là việc sử dụng các bổ trợ Visual Studio Tools cho Office (VSTO) làm phương tiện tấn công. Phần bổ trợ VSTO có thể đính kèm cùng với tài liệu Office (VSTO cục bộ) hoặc được thêm vào từ một vị trí từ xa khi tài liệu VSTO-Bearing Office được mở (VSTO từ xa). Tuy nhiên, điều này có thể yêu cầu bỏ qua các cơ chế bảo mật cần được sự đồng ý của người dùng.
Nguyễn Chân
10:00 | 30/03/2023
14:00 | 06/01/2023
07:00 | 03/04/2023
08:00 | 04/04/2023
16:00 | 05/04/2023
16:00 | 15/11/2022
15:00 | 06/10/2023
10:00 | 14/04/2023
09:00 | 15/06/2022
19:00 | 30/11/2023
Ngày 30/11, tại Hà Nội, Nessar và Quest/One Identity giới thiệu giải pháp an toàn dữ liệu và bảo mật mạng hàng đầu tại Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam năm 2023 với chủ đề "An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo", thu hút sự quan tâm lớn từ cộng đồng an toàn thông tin và doanh nghiệp.
08:00 | 29/11/2023
Theo tờ The New York Times, 33 tiểu bang của Mỹ đã đệ đơn kiện chống lại Meta, cáo buộc công ty này thu thập dữ liệu cá nhân của trẻ em và vi phạm chính sách độ tuổi sử dụng.
13:00 | 20/11/2023
Cradlepoint, công ty hàng đầu thế giới về các giải pháp kết nối biên không dây 5G và LTE được quản lý trên đám mây đã công bố giải pháp Biên dịch vụ truy cập an toàn (Secure Access Service Edge - SASE) được tối ưu hóa cho 5G vào cuối tháng 7/2023. 5G SASE của Cradlepoint được thiết kế cho các loại hình doanh nghiệp và được xây dựng có mục đích triển khai mạng diện rộng (WAN) không dây. Việc triển khai theo từng giai đoạn giải pháp 5G SASE sẽ cho phép các doanh nghiệp tạo môi trường SD-WAN và không dây kết hợp nhằm tối ưu hóa tính khả dụng, chất lượng dịch vụ và bảo mật cho các vị trí biên, phân tán và di động.
09:00 | 01/08/2023
Trong tháng 7, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
09:00 | 06/12/2023
