Mã độc Emotet đang được phát tán thông qua một ứng dụng giả mạo phần mềm Adobe PDF trên App Installer, một tính năng được tích hợp sẵn trên Windows 10 và 11.
Emotet thường lây nhiễm qua các email lừa đảo và các tệp đính kèm độc hại. Sau khi được cài đặt, nó sẽ đánh cắp email của nạn nhân để dùng cho các chiến dịch lừa đảo khác, cài đặt thêm các phần mềm độc hại, như TrickBot, Qbot,… và có thể tấn công ransomware.
Trước đó, các nhà nghiên cứu cũng đã phát hiện mã độc BazarLoader được phát tán theo cách tương tự.
Lạm dụng Windows App Installer
Chiến dịch Emotet này sử dụng các email đã bị đánh cắp và trả lời tiếp các cuộc trao đổi thư hiện có.
Nội dung thư trả lời yêu cầu người nhận xem liên kết đến một tệp đính kèm có liên quan đến cuộc trò chuyện qua email.
Khi nhấp vào liên kết, người dùng sẽ được đưa đến trang Google Drive giả mạo, nhắc họ nhấp vào nút “Preview PDF” để xem tài liệu.
Nút này là một đường dẫn đến chương trình cài đặt ứng dụng của Microsoft (ms-appinstaller URL). Khi kích vào, nó sẽ mở chương trình cài đặt ứng dụng được lưu trữ trên Microsoft Azure.
Chương trình cài đặt ứng dụng chỉ đơn giản là tệp XML chứa thông tin về nhà phát hành và URL đến nhóm ứng dụng sẽ được cài đặt.
Khi cố gắng mở tệp .appinstaller, trình duyệt Windows sẽ nhắc bạn mở Windows App Installer để tiếp tục.
Nếu bạn đồng ý, bạn sẽ thấy cửa sổ chương trình cài đặt ứng dụng nhắc bạn cài đặt 'Thành phần Adobe PDF.'
Úng dụng độc hại này trông giống như một ứng dụng Adobe hợp pháp: nó có biểu tượng Adobe PDF hợp pháp, chứng chỉ 'Ứng dụng đáng tin cậy' và thông tin nhà phát hành giả mạo. Điều này khiến nhiều người dùng tin tưởng và cài đặt nó.
Giao diện cài đặt Adobe PDF giả mạo
Khi người dùng nhấp vào nút 'Cài đặt', App Installer sẽ tải xuống và cài đặt ứng dụng độc hại được lưu trữ trên Microsoft Azure. Ứng dụng này được thiết kế để tự động khởi chạy khi người dùng đăng nhập vào Windows.
Emotet là mã độc được phát tán nhiều nhất từ trước cho đến khi cơ quan thực thi pháp luật đánh sập và chiếm giữ cơ sở hạ tầng của nó. Mười tháng sau, Emotet đã xuất hiện trở lại với sự trợ giúp của trojan TrickBot.
Sau đó, các chiến dịch thư rác của Emotet đã xuất hiện với các cuộc tấn công lừa dảo qua email bằng nhiều chiêu trò dụ dỗ cài đặt phần mềm độc hại.
Các chiến dịch Emotet thường kèm theo các cuộc tấn công bằng ransomware. Các quản trị viên Windows cần nắm rõ các phương pháp phát tán mã độc và nhắc nhở nhân viên luôn cảnh giác, tránh trở thành nạn nhân của các chiến dịch tấn công lừa đảo.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | XDR Cynet đã xây dựng một trung tâm minisite mới để cung cấp cho các nhóm bảo mật CNTT nhỏ không gian nghiên cứu, chia sẻ kinh nghiệm, thành tựu và chiến lược.
Tín nhiệm mạng | Cơ quan quản lý chống độc quyền của Ý đã phạt cả Apple và Google 10 triệu euro mỗi bên vì hành vi lạm dụng dữ liệu và không cung cấp cho người dùng thông tin rõ ràng về việc sử dụng dữ liệu cá nhân của họ cho mục đích thương mại.
Tín nhiệm mạng | Panasonic đã tiết lộ một vi phạm bảo mật trong đó kẻ tấn công đã đột nhập vào mạng công ty và có khả năng truy cập dữ liệu từ một trong các máy chủ bị xâm nhập.
Tín nhiệm mạng | Bốn banking trojan trên Android đã được phát tán qua cửa hàng Google Play và lây nhiễm cho hơn 300.000 thiết bị.
Tín nhiệm mạng | Tin tặc đang nỗ lực khai thác một biến thể mới của lỗ hổng leo thang đặc quyền được tiết lộ gần đây để có thể thực thi mã tùy ý trên các hệ thống đã vá lỗi.
Tín nhiệm mạng | VMware đã phát hành các bản cập nhật mới để khắc phục hai lỗ hổng bảo mật trong vCenter Server và Cloud Foundation cho phép kẻ tấn công đánh cắp thông tin.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
