FBI: Phishing emails đang lan truyền một malware cực kì nguy hiểm.



Một thông báo của FBI và CISA cảnh báo rằng Trickbot – một trong những dạng malware phổ biến và mạnh nhất hiện nay – đang sử dụng một chiêu trò mới với nỗ lực lây nhiễm cho  nhiều nạn nhân ở cấp số nhân.

Một Spear-phishing Campaign mới đang cố gắng lây nhiễm vào các máy tính bằng Trickbot, một trong những dạng malware phổ biến và mạnh nhất hiện nay, FBI và Cybersecurity and Infrastructure Security Agency (CIA) đã đưa ra lời cảnh báo.

Trickbot ban đầu được biết đến  là một Banking Trojan nhưng sau này dần đã trở thành một trong những công cụ hữu dụng nhất cho hacker, những kẻ có thể cho thuê quyền truy cập vào các máy bị nhiễm để truyền đi malware của chúng – bao gồm cả ransomware.

 

Giờ đây, những kẻ tạo ra malware đang sử dụng một chiến thuật mới để cố gắng đưa malware đến nạn nhân, FBI và CISA cảnh báo – các Phishing email được cho là chứa bằng chứng vi phạm giao thông. Với hy vọng là mọi người cảm thấy bị dọa sợ để  mở email để tìm hiểu bên trong.

Các Phishing email chứa một liên kết dẫn người dùng đến một website hosted trên máy chủ đã bị xâm nhập bởi những hacker và yêu cầu nạn nhân nhấp vào ảnh để xem bằng chứng. Và khi họ nhấp vào ảnh,  trên thực tế họ sẽ  tải xuống một tệp JavaScript, khi được mở ra, sẽ kết nối với Command and Control server, và tải xuống Trickbot vào hệ thống của họ.

Trickbot tạo ra một backdoor trên các thiết bị Windows, cho phép các hacker đánh cắp đi thông tin mật bao gồm thông tin đăng nhập, trong khi một số phiên bản của Trickbot có khả năng tự lây lan trên toàn bộ mạng lưới.

Bản chất mô-đun của Trickbot là nó có khả năng tùy chỉnh rất cao, và kèm theo là các cuộc tấn công  của malware, được biết như là bao gồm việc chèn thêm malware vào – chẳng hạn như Ryuk hoặc Conti ransomware – hoặc cho đến gần đây, đóng vai trò là trình tải xuống  Emotet malware. Trickbot cũng có thể khai thác các máy bị nhiễm để đào tiền bitcoin.

Một liên minh các công ty an ninh mạng đã cố gắng phá vỡ Trickbot vào tháng 10 năm ngoái, nhưng malware này đã ngừng hoạt động không được bao lâu, rất nhanh sau đó, những kẻ đứng sau lưng đã nhanh chóng đã có khả năng kích hoạt lại nó.

“Những nỗ lực loại bỏ vào tháng 10 đã không thể làm gián đoạn hoặc vô hiệu hóa vĩnh viễn malware tinh vi này và rất có khả năng chúng đã hoạt động trên “threat landscape”  ở quy mô lớn trong rất nhiều năm. Nó có cơ sở hạ tầng mạnh mẽ và có khả năng tái hoạt động “, Sherrod DeGrippo, giám đốc cấp cao của nghiên cứu và phát hiện mối đe dọa tại Proofpoint nói với ZDNet.

“Để loại bỏ hoàn toàn Trickbot sẽ cực kỳ khó khăn và có khả năng đòi hỏi sự phối hợp giữa các cơ quan có thẩm quyền quốc tế , như chúng tôi đã thấy với Emotet. Thực tế, sau các hành động vào tháng 10 năm 2020, chúng tôi đã thấy các chiến dịch Trickbot khởi động lại trong vòng vài tuần và nó đã hoạt động không ngừng nghĩ kể từ đó, “cô ấy nói thêm.

Trickbot vẫn là một công cụ mạnh mẽ đối với hacker và là mối nguy hiểm rõ ràng đối với các doanh nghiệp và tổ chức thuộc mọi quy mô – nhưng có những biện pháp được CISA và FBI khuyến nghị có thể được thực hiện để giúp bảo vệ mạng lưới khỏi malware.

Cung cấp Social Engineering và Phishing email cho nhân viên có thể giúp họ tránh được các mối đe dọa bằng cách cảnh giác với một số loại thư và tin nhắn nhất định.

Các tổ chức cũng nên triển khai một chương trình an ninh mạng thích hợp với A Formalised Security Patch Management process  để các cyber-attacks không thể khai thác các lỗ hổng bảo mật đã biết để chiếm được chỗ đứng trên mạng lưới và có nguy cơ tấn công chúng ta trong tương lai. Chúng tôi cũng khuyến nghị rằng xác thực đa yếu tố cũng nên được áp dụng trên toàn doanh nghiệp, vì vậy dạng malware mà dùng để đánh cắp thông tin đăng nhập để lây nhiễm trên mạng lưới không thể tung hoành dễ dàng như vậy.

Nguồn : zdnet



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật