Cẩn trọng loạt chiến dịch sử dụng tệp ISO, IMG chứa phần mềm độc hại

Hoàng Linh| 06/05/2020 16:36
Theo dõi ICTVietnam trên

Theo Microsoft, nhóm tội phạm mạng sử dụng những tệp tin ISO và IMG có phần mềm độc hại để lây nhiễm cho các công ty bằng trojan truy cập từ xa.

Microsoft cho biết các mô hình phát hiện mối đe dọa học máy tiên tiến của công ty đã giúp nhân viên phát hiện nhiều chiến dịch spam độc hại (malspam) phát tán các tệp hình ảnh có chứa phần mềm độc hại.

Cẩn trọng loạt chiến dịch sử dụng tệp ISO, IMG chứa phần mềm độc hại - Ảnh 1.

Ảnh: Geralt on Pixabay

Chiến dịch, được phát hiện vào tuần trước, khi sử dụng dòng chủ đề email liên quan đến Covid-19 để lừa người dùng tải xuống và chạy tệp đính kèm ISO hoặc IMG.

Trong một loạt các tweet vừa đăng tải, Microsoft cho biết các tệp này bị nhiễm phiên bản trojan truy cập từ xa (RAT) của Remcos, giúp kẻ tấn công kiểm soát hoàn toàn các máy chủ bị lây nhiễm.

Microsoft cho biết những kẻ tấn công đã kiên trì và đã tung ra nhiều hoạt động spam khác nhau, nhắm mục tiêu vào các công ty thuộc các ngành khác nhau, ở nhiều quốc gia trên toàn cầu. Những chiến dịch thư rác lớn như:

- Một chiến dịch Remcos diễn ra sau khi các doanh nghiệp nhỏ của Mỹ tìm cách nhận các khoản vay ứng phó thảm họa. Trong trường hợp này, các công ty đã nhận được email giả từ Cơ quan quản lý doanh nghiệp nhỏ Mỹ (SBA), mang theo tệp đính kèm độc hại IMG (ảnh đĩa). Tệp IMG chứa tệp thực thi sử dụng biểu tượng PDF gây hiểu nhầm. Khi chạy, tệp thực thi sẽ cài đặt Remcos RAT.

- Một chiến dịch nhắm vào các công ty sản xuất tại Hàn Quốc. Những kẻ tấn công đã gửi cho các tổ chức mục tiêu một email mạo danh Mạng cảnh báo sức khỏe (HAN) của CDC mang tệp đính kèm tệp ISO độc hại. Tệp ISO chứa tệp SCR độc hại, đã cài đặt Remcos.

- Một chiến dịch Remcos khác nhắm vào các kế toán viên ở Mỹ, với các email có tiêu đề "cập nhật liên quan đến Covid-19" cho các thành viên của Viện CPA Mỹ. Tệp đính kèm là kho lưu trữ ZIP chứa kết hợp ISO + SCR được thấy trong chiến dịch của Hàn Quốc.

Các công ty nhận được các tệp đính kèm email được khuyến nghị không nên mở chúng. Microsoft đã phát hiện ra những cuộc tấn công sau khi quan sát thấy một số hành vi đáng ngờ trên các bản cài đặt của Defender. Ganacharya, Giám đốc phụ trách nghiên cứu bảo mật của Microsoft Threat Protection, tin rằng việc Microsoft tập trung cho học máy là lý do khiến công ty phát hiện ra chiến dịch này ngay từ đầu.

Ganacharya cho biết tính đa hình của phần mềm độc hại (phần mềm độc hại đột biến theo chu kỳ) và phần mềm độc hại không mã hóa (phần mềm độc hại chỉ chạy trong RAM, không có dấu vết trên ổ đĩa) hiện được sử dụng rộng rãi. Điều này đặt các nhà cung cấp phần mềm chống virus luôn đi sau một bước so với hầu hết các hoạt động của phần mềm độc hại, nếu phần mềm chống virus chỉ dựa vào việc phát hiện sự hiện diện của một tệp xấu đã biết.

"Bối cảnh mối đe dọa đã thay đổi đáng kể với các dạng tấn công khác nhau, đa hình. Hơn 96% các mối đe dọa mà chúng ta thấy trên khắp thế giới là một tệp duy nhất trên mỗi máy".

Microsoft Defender hiện đang dựa vào học máy để phát hiện hành vi đáng ngờ xảy ra trên một máy chủ và đưa ra cảnh báo cho các kỹ sư của mình để điều tra.

Trong tất cả những điều này, các mô hình học máy của Defender hiện là vũ khí chính của công ty chống lại các cuộc tấn công phần mềm độc hại và các mối đe dọa không xác định, giúp Microsoft phát hiện các cuộc tấn công vào thời điểm sớm nhất của chúng.

Ganacharya cho biết: "Chúng tôi đã đang thực hiện rất nhiều đầu tư trong 3 - 4 năm qua, cũng như đầu tư lớn cho việc bổ sung các công cụ cho Defender, nắm bắt chuỗi hành vi, nội dung của tệp, công cụ học máy phía khách hàng, công cụ học máy phía đám mây".

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Việt Nam tăng cường hợp tác phát triển công nghệ số với Burundi và NIPA
    Trong khuôn khổ sự kiện Tuần lễ Số quốc tế 2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã tiếp và làm việc với Bộ trưởng Bộ Truyền thông, Công nghệ Thông tin và Đa phương tiện Burundi Léocadie Ndacayisaba và ông Hur Sung Wook, Chủ tịch Cục Xúc tiến Công nghiệp CNTT quốc gia Hàn Quốc (NIPA).
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Việt Nam - Hàn Quốc đồng hành trong kỷ nguyên AI
    Thứ trưởng Bộ TT&TT Phan Tâm hy vọng, Việt Nam có thể học tập nhiều hơn từ Hàn Quốc về các bài học kinh nghiệm, cách làm hay để phát huy tối đa vai trò công nghệ số nói chung và trợ lý ảo nói riêng trong hoạt động của cơ quan nhà nước, thúc đẩy phát triển kinh tế, tạo lập xã hội số nhân văn và thu hẹp khoảng cách số.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
Cẩn trọng loạt chiến dịch sử dụng tệp ISO, IMG chứa phần mềm độc hại
POWERED BY ONECMS - A PRODUCT OF NEKO