Ba họ malware mới được tìm thấy trong chiến dịch lừa đảo liên quan đến tài chính trên phạm vi toàn cầu.



Doubledrag, Doubledrop và Doubleback là “kiệt tác” của các hacker “có nhiều kinh nghiệm”. Các nhà nghiên cứu đã tìm thấy ba họ malware mới được sử dụng trong một chiến dịch lừa đảo liên quan đến tội phạm tài chính.

Hôm thứ Ba, nhóm an ninh mạng Mandiant của FireEye cho biết các chủng malware, có tên là Doubledrag, Doubledrop và Doubleback, đã được phát hiện vào tháng 12 năm 2020.

Các hacker đằng sau malware, được mô tả là “có kinh nghiệm và có sự chuẩn bị kĩ càng”, đang được theo dõi như là UNC2529.

Cho đến nay, các tổ chức ở Hoa Kỳ, khu vực EMEA, Châu Á và Úc đã bị chú ý tới trong hai làn sóng riêng biệt.

Các Phishing messages được gửi đến các nạn nhân tiềm năng hiếm khi dựa trên cùng một địa chỉ email và các dòng chủ đề được điều chỉnh cho phù hợp với mục tiêu; trong nhiều trường hợp, các hacker sẽ giả dạng giám đốc điều hành bộ phận chào hàng các dịch vụ phù hợp cho các ngành khác nhau – bao gồm quốc phòng, y tế, vận tải, quân đội và điện tử.

This upcoming Outlook feature sounds like a catastrophe waiting to happen |  TechRadar

Tổng cộng hơn 50 tên miền đã được sử dụng để quản lý kế hoạch lừa đảo toàn cầu. Trong một cuộc tấn công thành công, UNC2529 đã xâm nhập thành công miền thuộc sở hữu của một doanh nghiệp kinh doanh dịch vụ sưởi ấm và làm mát của Hoa Kỳ, giả mạo các DNS records và sử dụng cấu trúc này để phát động các cuộc phishing attacks chống lại ít nhất 22 tổ chức.

Các email có nội dung lừa đảo có chứa các liên kết đến các URL dẫn đến.PDF payloads độc hại và tệp JavaScript đi kèm có trong tệp lưu trữ .zip. Các tài liệu, được tìm nạp từ các nguồn công cộng , đã sửa cho sai đi khiến chúng không thể đọc được – và vì vậy, người ta cho rằng nạn nhân có thể trở nên khó chịu khi nhấp đúp vào tệp .js để cố gắng đọc nội dung.

Mandiant cho biết tệp .js, chứa trình tải xuống Doubledrag. Ngoài ra, một số chiến dịch đã sử dụng tài liệu Excel với macro được nhúng để phân phối cùng một payload.

Think that domain you're visiting is legitimate? Think again: Homograph  attacks fake secure domains - TechRepublic

Khi thực hiện, Doubledrag cố gắng tải xuống một dropper như là giai đoạn thứ hai của chuỗi tấn công. Doubledrop này, là một tập lệnh Obfuscated PowerShell được thiết kế để thiết lập chỗ đứng cho một thiết bị nhiễm bằng cách truyền tải một backdoor vào bộ nhớ.

Backdoor là thành phần malware cuối cùng, Doubleback, malware được tạo ra cho cả hai phiên bản 32-bit và 64-bit.

Mandiant lưu ý: “Backdoor, một khi nó có quyền kiểm soát, sẽ tải các plugin và sau đó đi vào communication loop, tìm nạp các lệnh từ C2 [command-and-control] server và gửi chúng đi”. “Một thực tế đáng chú ý về toàn bộ hệ sinh thái là chỉ có trình tải xuống tồn tại trong hệ thống tệp. Phần còn lại của các thành phần được tuần tự hóa trong registry database, điều này khiến việc phát hiện chúng khó hơn, đặc biệt là bởi các công cụ chống vi-rút dựa trên các tệp tin.”

Emails Delivering Backdoor & Injecting Malicious Scripts into Enterprise

Việc phân tích các chủng malware mới đang được tiến hành.

Các nhà nghiên cứu cho biết: “Mặc dù Mandiant không có bằng chứng về mục tiêu cụ thể của hacker này, nhưng việc nhắm mục tiêu rộng rãi của chúng vào các ngành và khu vực  địa lí thuận lợi phù hợp cùng với phép phân tích thường thấy nhất trong các nhóm có động cơ liên quan đến tài chính”.

nguồn: zdnet.

 



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật