Mới đây, các nhà nghiên cứu của SophosLabs đã phát hiện một chiến dịch lừa đảo mới nhằm phát tán mã độc Formbook đã sử dụng một khai thác mới để vượt qua bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần MSHTML của Microsoft.
Lỗ hổng có định danh CVE-2021-40444 (điểm CVSS: 8,8), cho phép đối tượng tấn công thực thi mã từ xa trong MSHTML. Mặc dù Microsoft đã phát hành bản vá lỗ hổng trong bản cập nhật tháng 9 năm 2021, nhưng lỗ hổng vẫn bị lạm dụng trong nhiều cuộc tấn công.
Cùng tháng đó, một chiến dịch lừa đảo đã lợi dụng lỗ hổng để triển khai Cobalt Strike Beacons trên các hệ thống Windows bị xâm phạm. Vào tháng 11, SafeBreach Labs đã báo cáo về việc một kẻ tấn công đã khai thác CVE-2021-40444 để cài đặt chương trình đánh cắp thông tin lên các hệ thống mục tiêu.
Chiến dịch mới đã vượt qua bản vá bằng cách biến đổi mã khai thác có sẵn thành công cụ khai thác mới có tên CAB-less 40444 và sử dụng nó để phát tán phần mềm độc hại Formbook.
Tấn công kéo dài trong 36 giờ, từ ngày 24 đến ngày 25 tháng 10, đã gửi các email spam chứa tệp RAR không đúng định dạng đến các mục tiêu. Tệp này bao gồm một tập lệnh được viết trong Windows Script Host (WSH) và một tài liệu Word mà khi mở ra, nó sẽ kết nối đến một máy chủ lưu trữ mã JavaScript độc hại.
Mã JavaScript sử dụng Tài liệu Word để khởi chạy tập lệnh WSH và thực thi lệnh PowerShell được nhúng trong tệp RAR để tải về phần mềm độc hại Formbook.
Các nhà nghiên cứu cho biết các tệp lưu trữ RAR đã sửa đổi không hoạt động với các phiên bản cũ hơn của tiện ích WinRAR. “Vì vậy, trong trường hợp này, người dùng phiên bản WinRAR cũ/lỗi thời hơn sẽ được an toàn hơn so với người dùng phiên bản mới nhất”.
Nhà nghiên cứu của SophosLabs, Andrew Brandt cho biết “Nghiên cứu này là một lời nhắc nhở rằng bản vá không thể bảo vệ khỏi tất cả các lỗ hổng trong mọi trường hợp”.
"Điều quan trọng là nên hướng dẫn nhân viên và nhắc nhở họ cảnh giác với các tài liệu được gửi qua email, đặc biệt là khi nhận được các định dạng tệp nén bất thường từ những người hoặc công ty mà họ không biết"
Người phát ngôn của Microsoft cho biết họ đang điều tra các báo cáo liên quan và sẽ có hành động thích hợp nếu cần để bảo vệ khách hàng của mình.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Hai lỗ hổng bảo mật trong plugin SEO WordPress rất phổ biến, ảnh hưởng đến hơn 3 triệu trang web, cho phép tin tặc tấn công chiếm quyền kiểm soát.
Tín nhiệm mạng | Một ứng dụng Android, với hơn 500.000 lượt tải xuống từ cửa hàng ứng dụng Google Play có chứa mã độc gian lận thanh toán Joker
Tín nhiệm mạng | Meta kiện những kẻ đã vận hành hơn 39.000 trang web lừa đảo mạo danh công ty để đánh lừa người dùng nhằm lấy cắp thông tin đăng nhập.
Tín nhiệm mạng | Meta loại bỏ và cấm bảy tổ chức gián điệp mạng vì nhắm mục tiêu vào các nhà báo, nhà bất đồng chính kiến, các nhà hoạt động nhân quyền,… ở hơn 100 quốc gia.
Tín nhiệm mạng | Phát hiện khai thác mới cho phép tin tặc lạm dụng lỗ hổng Log4Shell để tấn công vào các máy chủ cục bộ bằng cách sử dụng kết nối JavaScript WebSocket
Tín nhiệm mạng | Mozilla đã khắc phục một lỗ hổng gây lộ thông tin đăng nhập trong trình duyệt Firefox qua tính năng Windows Cloud Clipboard khi người dùng sao chép mật khẩu.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
