Các tin tặc sử dụng coronavirus (COVID-19) nhắm mục tiêu địa chỉ email và cài đặt phần mềm độc hại

Các nhà nghiên cứu đã bắt gặp một kỹ thuật mới được tin tặc sử dụng để payload bằng cách sử dụng tài liệu MS-Word bị nhiễm. Tương tự như một sự cố gần đây khi tin tặc bị bắt gặp lừa mọi người cài đặt Remote Access Tool (RAT) bằng tài liệu Norton LifeLock giả, các nhà nghiên cứu tại Sophos Labs đã phát hiện ra một chiến dịch Trickbot mới nhắm vào các địa chỉ email của Ý.


Nhắm vào nỗi sợ hãi của mọi người về sự bùng phát của coronavirus

Các tin tặc đang cố gắng nhằm vào nỗi sợ hãi của mọi người về sự bùng phát của coronavirus (COVID-19) ở nước này, điều này cũng nghiêm trọng không kém đối với các chiến dịch khác có chế độ tương tự.

Như mọi khi, tất cả bắt đầu với một e-mail mang tài liệu độc hại. Tài liệu này tuyên bố sẽ cung cấp một danh sách các biện pháp phòng ngừa cần thực hiện để ngăn ngừa nhiễm trùng coronavirus (COVID-19). Tài liệu Word đính kèm bao gồm tập lệnh Visual Basic for Application (VBA) dưới dạng macro. Kịch bản này giảm tải trọng cuối cùng cung cấp một biến thể Trickbot mới.

Mặc dù tin tặc nhắm đến sự sợ hãi coronavirus có thể là mới. Tuy nhiên, phương pháp phân phối phần mềm độc hại Trickbot với sự trợ giúp của tài liệu Word được viết theo kịch bản đã hoạt động được vài tháng nay.

Trước đây, các email có dòng tiêu đề, chẳng hạn như You have an email about your credit và You have received a fax about your loan rất phổ biến. Giờ đây, các tin tặc dường như đã tập trung vào sự sợ hãi của coronavirus.
Sau đó, lo ngại về COVID-19 đang gia tăng - đặc biệt là ở Ý, nơi các vụ việc đang gia tăng - dòng tiêu đề của chiến dịch spam hiện đang phù hợp với các mối quan tâm trong ngày.
Những email này mang một thông điệp khuyến nghị độc giả mở tài liệu kèm theo.

Nếu Macros bị vô hiệu hóa, tài liệu Word sẽ mở ra với một thông báo yêu cầu người nhận kích hoạt chỉnh sửa và nội dung bởi vì, tài liệu này đã được tạo trong phiên bản Microsoft Office Word trước đó. Nhưng nếu macro đã được bật, nó sẽ gọi tệp macro.

Quá trình cuối cùng lây nhiễm hệ thống của bạn với Trickbot malware. Tóm lại, đó là một trojan ngân hàng nhắm vào thông tin nhạy cảm và đóng vai trò là người thả cho các phần mềm độc hại khác.

Các nhà nghiên cứu khuyên người dùng nên tắt macro trong các ứng dụng Office cho tất cả các tài liệu đáng tin cậy nhất. Người dùng cũng không nên mở các tài liệu nhận được qua các email không đáng tin cậy.

0/BÌNH LUẬN

BẠN ĐANG CHẶN QUẢNG CÁO

Vui lòng tắt plugin Adblock trong trình duyệt và phần mềm diệt virus (nếu có) sau đó nhấn vào

Disable Adblock & Reload

để tiếp tục hỗ trợ trang web đang phát triển này