🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Phát hiện chiến dịch lừa đảo mới đang sử dụng các tệp Microsoft Word để phán tán mã độc

25/12/2023

Một chiến dịch lừa đảo mới đang lợi dụng các tệp tài liệu Microsoft Word giả làm mồi nhử để phát tán một phần mềm backdoor được viết bằng ngôn ngữ lập trình Nim.

Các nhà nghiên cứu Ghanashyam Satpathy và Jan Michael Alcantara của Netskope cho biết: “Phần mềm độc hại được viết bằng các ngôn ngữ lập trình không phổ biến khiến cộng đồng bảo mật gặp bất lợi trong việc điều tra do không quen thuộc với ngôn ngữ này”.

Chuỗi tấn công được Netskope phát hiện bắt đầu bằng một email lừa đảo chứa tệp đính kèm tài liệu Word, khi mở ra sẽ thúc giục người nhận kích hoạt macro để kích hoạt triển khai phần mềm độc hại. Người gửi email giả dạng là một tổ chức chính phủ Nepal.

Sau khi khởi chạy, backdoor sẽ liệt kê các tiến trình (process) đang chạy để xác định sự tồn tại của các công cụ phân tích đã biết trên máy chủ bị nhiễm và chấm dứt các tiến trình này ngay lập tức nếu tìm thấy.

Mặt khác, backdoor sẽ thiết lập kết nối đến một máy chủ từ xa giả mạo tên miền của chính phủ Nepal, bao gồm cả Trung tâm Công nghệ thông tin quốc gia (NITC) và chờ nhận lệnh. Máy chủ điều khiển tấn công (C2), hiện không thể truy cập được nữa, được phát hiện gồm:

- mail[.]mofa[.]govnp[.]org

- nitc[.]govnp[.]org

- mx1[.]nepal[.]govnp[.]org và

- dns[.]govnp[.]org

Các nhà nghiên cứu cho biết: “Nim là một ngôn ngữ lập trình được biên dịch kiểu tĩnh (statically)”. "Bên cạnh cú pháp quen thuộc, tính năng cross-compilation của nó cho phép kẻ tấn công tạo một biến thể phần mềm độc hại và biên dịch nó để nhắm mục tiêu vào các nền tảng khác nhau."

Tiết lộ này được đưa ra khi Cyble cảnh báo về một chiến dịch social engineering lạm dụng các tin nhắn trên nền tảng truyền thông xã hội để phát tán một phần mềm độc hại đánh cắp dựa trên Python mới có tên là Editbot Stealer, được thiết kế để thu thập và trích xuất dữ liệu có giá trị thông qua kênh Telegram do tác nhân đe dọa kiểm soát.

Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch tấn công lừa đảo, người dùng nên cảnh giác khi nhận được email từ nguồn lạ, kiểm tra cẩn thận thông tin email gửi đến, nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất bạn nên xóa hoặc bỏ qua email này; nếu nhận được tài liệu đính kèm yêu cầu bạn kích hoạt macro khi mở, bạn không nên làm theo nếu không biết rõ chuyện gì sẽ xảy ra sau khi kích hoạt nó.

Nguồn: thehackernews.com.

scrolltop