🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Mã độc DarkGate đang được phát tán qua các dịch vụ nhắn tin dưới dạng tệp PDF

17/10/2023

Một phần mềm độc hại có tên DarkGate đang được phát tán thông qua các nền tảng nhắn tin trực tuyến như Skype và Microsoft Teams.

Các ứng dụng nhắn tin này được sử dụng để gửi các tài liệu PDF giả mạo, có chứa tập lệnh Visual Basic for Application (VBA) độc hại. Khi được mở, nó sẽ kích hoạt việc tải xuống và thực thi tập lệnh AutoIt được dùng để khởi chạy mã độc.

DarkGate, được Fortinet ghi nhận lần đầu vào tháng 11 năm 2018, là một phần mềm độc hại thương mại cung cấp nhiều tính năng cho phép thu thập dữ liệu nhạy cảm từ trình duyệt web, khai thác tiền điện tử và cho phép kẻ tấn công điều khiển từ xa các máy chủ bị nhiễm. Nó cũng hoạt động như một công cụ tải xuống (downloader) các payload (tệp, phần mềm độc hại) bổ sung như Remcos RAT.

Thông qua các cuộc tấn công social engineering, các chiến dịch phát tán mã độc đã gia tăng trong những tháng gần đây. Kẻ tấn công thường sử dụng email, tin nhắn lừa đảo hoặc ‘đầu độc’ công cụ tìm kiếm (SEO poisoning) trong bước đầu của chuỗi tấn công để lừa người dùng cài đặt phần mềm độc hại.

Vào đầu tháng trước, Truesec đã cảnh báo rằng một số tác nhân đe dọa đã lợi dụng ứng dụng trò chuyện của Microsoft Teams để phát tán và lây lan mã độc DarkGate.

Theo Trend Micro, phần lớn các cuộc tấn công được phát hiện ở Châu Mỹ, theo sau là Châu Á, Trung Đông và Châu Phi.

Quy trình lây nhiễm lạm dụng Skype và Teams gần giống với một chiến dịch malspam được Telekom Security báo cáo vào cuối tháng 8 năm 2023.

Các nhà nghiên cứu của Trend Micro cho biết: “Kẻ đe dọa đã lạm dụng sự tin cậy giữa hai tổ chức để lừa người nhận thực thi tập lệnh VBA đính kèm”. Việc truy cập vào tài khoản Skype của nạn nhân đã cho phép kẻ tấn công gửi các tin nhắn giả mạo và tệp độc hại liên quan đến nội dung của cuộc trò chuyện.

Tập lệnh VBA đóng vai trò như một phương tiện dùng để tải về công cụ AutoIt hợp pháp (AutoIt3.exe). AutoIT sau đó được sử dụng để khởi chạy phần mềm độc hại DarkGate.

Trong các cuộc tấn công lạm dụng Microsoft Teams, những kẻ tấn công đã gửi tin nhắn đính kèm tệp ZIP, bên trong có chứa tệp LNK được thiết kế để thực thi tập lệnh VBA dẫn đến việc tải về AutoIt và lây nhiễm DarkGate.

Các nhà nghiên cứu cho biết: “Tội phạm mạng có thể sử dụng các payload này để lây nhiễm nhiều loại phần mềm độc hại khác vào hệ thống, bao gồm phần mềm đánh cắp thông tin, phần mềm tống tiền (ransomware), công cụ truy cập từ xa độc hại và/hoặc các công cụ khai thác tiền điện tử”.

Để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công như vậy, người dùng nên cảnh giác khi nhận được các tin nhắn yêu cầu tải xuống tệp đính kèm. Hãy cẩn thận kiểm tra, xác minh mọi thông tin liên quan trước khi tải xuống file cũng như kiểm tra tính an toàn của file trước khi mở hoặc thực thi nó.

Nguồn: thehackernews.com.

scrolltop