Hacking đã chuyển các cuộc tấn công từ ransomware sang phần mềm độc hại trojan

Một nhóm hack nổi tiếng đã trở lại với một chiến dịch mới nhằm cung cấp một trojan truy cập từ xa mới (RAT - remote access trojan) tới các nạn nhân để tạo ra một backdoor (cửa sau) vào máy tính để ăn cắp thông tin và thông tin ngân hàng.

Chiến dịch này bị nghi ngờ là hoạt động của TA505, một nhóm hacker có nguồn lực tích cực hoạt động từ năm 2014. Nhóm đã tung ra một số chiến dịch tấn công mạng lớn nhất trong những năm gần đây, với nạn nhân nhắm vào trojan ngân hàng Dridex, Locky ransomware, Jaff ransomware và hơn thế nữa.

Nhiều trong số các chiến dịch này đã được đưa ra với sự trợ giúp của botnet Necurs, một trong những máy phát thư rác lớn nhất được sử dụng bởi bọn tội phạm mạng.

Bây giờ TA505 đang chạy một chiến dịch mới, đã được nêu chi tiết bởi các nhà nghiên cứu tại công ty bảo mật Proofpoint. Phù hợp với sự thay đổi trọng tâm của các nhóm tội phạm mạng khác, TA505 đã chuyển từ phần mềm ransomware và trojans ngân hàng và giờ đây dường như tập trung vào RAT - bao gồm cả những RAT mới chỉ xuất hiện gần đây và những RAT chỉ được sử dụng hai lần trước đây. Trong cả hai trường hợp trước, những kẻ tấn công vẫn chưa được xác định.

Được các nhà nghiên cứu gọi là tRat, phần mềm độc hại chủ yếu nhắm mục tiêu vào các tổ chức tài chính và được phân phối với mục đích lấy cắp thông tin đăng nhập, dữ liệu tài chính và các thông tin khác hữu ích cho các hoạt động của tội phạm mạng. Các nhà nghiên cứu cũng cảnh báo rằng nó có thể có các khả năng khác chưa được đưa vào hoạt động.

Chiến dịch phần mềm độc hại lần đầu tiên được phát hiện vào cuối tháng 9, với các email lừa đảo cung cấp các tệp mục tiêu an toàn cần được mở. Nếu người dùng mở tệp đính kèm, tài liệu Word yêu cầu được bảo vệ bởi công ty bảo mật Symantec và yêu cầu người dùng bật macro để xem các tệp được bảo mật.

Chris Dawson, người đứng đầu về các vấn đề đe dọa tại Proofpoint cho biết: “Ngày càng nhiều các mối đe dọa bao gồm các thương hiệu an ninh như là một phần của kỹ thuật xã hội của chúng. Tuyên bố rằng một tài liệu được "bảo vệ" bởi một nhà cung cấp bảo mật sẽ có khả năng lừa người nhận truy cập vào các macro cho phép cài đặt phần mềm độc hại".

Phiên bản cập nhật của chiến dịch được phát hiện vào tháng 10 hơi phức tạp hơn, sử dụng nhiều dòng chủ đề khác nhau liên quan đến hóa đơn, với nhiều tài khoản khác nhau gửi tin nhắn đến từ các công ty hậu cần.

Trong những trường hợp này, tài liệu Word yêu cầu người dùng 'kích hoạt nội dung' để xem nội dung trong đó - nếu điều này được thực hiện, trojan sẽ được cài đặt, sẵn sàng lấy cắp dữ liệu từ nạn nhân. Chiến dịch này hiện chưa hoạt động nhưng các nhà nghiên cứu tin rằng những hoạt động trong tháng 10 có thể là một chiến dịch mở đầu cho một chiến dịch đầy đủ trong tương lai gần.

Dawson cho biết: "Đây dường như là một chiến dịch thử nghiệm với hàng ngàn tin nhắn, chủ yếu được gửi tới người dùng tại các tổ chức ngân hàng thương mại".

Sự thay đổi của TA505 đối với trojans dường như gợi ý một sự thay đổi trong chiến thuật cho nhóm, ban đầu tập trung vào lợi nhuận ngắn hạn, nhưng bây giờ dường như đang tham gia một trò chơi dài hơn.

Dawson cho biết: "Việc tiếp tục thử nghiệm và chấp nhận RAT và thông tin của nhóm đã phản ánh những chuyển động rộng lớn hơn từ các phần mềm độc hại phá hoại cao mà TA505 và các nhóm hacker khác có thể thu được lợi nhuận trong thời gian dài".

Proofpoint đã cung cấp thông tin về các Chỉ số về Thỏa hiệp (IOC - Indicators of Compromise) trong bài đăng của họ về phần mềm độc hại.