Các hacker sử dụng biểu mẫu liên hệ của trang web để phân phối IcedID malware.



Microsoft đã cảnh báo các tổ chức về một chiến dịch tấn công “độc nhất ” lạm dụng các biểu mẫu liên hệ được công bố trên các trang web, để gửi các liên kết độc hại đến các doanh nghiệp thông qua email chứa các mối đe dọa liên quan đến pháp lý “giả mạo”, trong một trường hợp khác là bọn chúng lợi dụng cơ sở hạ tầng thật để bắt đầu thực hiện các chiến dịch lẩn trốn, vượt qua được các biện pháp bảo mật.

“Các email hướng dẫn người nhận nhấp vào một liên kết để xem xét bằng chứng được cho là đằng sau cáo buộc của họ, nhưng thay vào đó, lại  tải xuống IcedID, một loại malware đánh cắp thông tin”, nhóm tình báo về mối đe dọa của công ty cho biết trong một bài viết được công bố vào thứ Sáu tuần trước.

IceID là một banking Trojan dựa trên Windows được sử dụng để do thám và lấy cắp thông tin xác thực ngân hàng, cùng với các tính năng cho phép nó kết nối với command-and-control (C2) server  để triển khai các payload bổ sung như ransomware và malware có khả năng thực hiện các cuộc hands-on-keyboard attacks, đánh cắp thông tin xác thực và di chuyển đi qua các mạng bị ảnh hưởng.

Don't Get Robbed by a Banking Trojan | PCMag

Các nhà nghiên cứu của Microsoft cho biết những hacker có thể đã sử dụng một công cụ tự động để gửi email bằng cách lạm dụng biểu mẫu liên hệ của doanh nghiệp trong khi phá vỡ các biện pháp bảo vệ CAPTCHA. Bản thân các email này sử dụng các mối đe dọa liên qua đến pháp luật để đe dọa nạn nhân, tuyên bố rằng những người nhận ” là đã sử dụng hình ảnh hoặc minh họa của họ mà không có sự cho phép và luật pháp sẽ được trừng phạt lại họ.”

Bằng cách tạo ra cảm giác cực kì cấp bách, khiến nạn nhân tiết lộ thông tin nhạy cảm, nhấp vào một liên kết sơ sài hoặc mở một tệp độc hại. Trong chuỗi lây nhiễm này, đó là một liên kết đến trang sites.google.com, trang này yêu cầu người dùng đăng nhập bằng thông tin đăng nhập Google của họ, sau đó tệp lưu trữ ZIP sẽ tự động được tải xuống.

Simple Secure Spam-Free Contact Form in PHP – Iris - Phppot

Tệp ZIP chứa một tệp JavaScript obfuscated, tải xuống IcedID malware. Hơn nữa, mã độc có khả năng tải xuống các implants thứ cấp như Cobalt Strike, có khả năng khiến các nạn nhân bị ảnh hưởng gặp rủi ro hơn nữa.

Mặc dù vậy, con đường xâm nhập lại rất khác biệt, các cuộc tấn công là một dấu hiệu khác cho thấy các hacker  liên tục điều chỉnh các chiến thuật Social engineering để nhắm mục tiêu vào các công ty, với ý định phát tán malware trong khi trốn tránh để không bị phát hiện.

Các nhà nghiên cứu cho biết: “Các kịch bản  cung cấp một cái nhìn nghiêm túc về cách các kỹ thuật của những hacker tinh vi đã phát triển như thế nào, trong khi vẫn duy trì mục tiêu là truyền các malware payloads như IcedID”. “Việc chúng sử dụng các biểu mẫu gửi là đáng lưu tâm vì các email không có dấu hiệu điển hình của các thư độc hại và dường như có vẻ là thật.”

nguồn: thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật