An toàn thông tin

Chiến dịch Trojan ngân hàng phát tán phần mềm độc hại

Hạnh Tâm 18/04/2023 16:41

Những phát hiện mới từ Kaspersky tiết lộ, một chiến dịch phần mềm độc hại QBot mới đang lợi dụng việc trao đổi thư từ của doanh nghiệp đã bị tấn công để lừa các nạn nhân nhẹ dạ cài đặt phần mềm độc hại.

Hoạt động mới nhất, bắt đầu vào ngày 4/4/2023, chủ yếu nhắm mục tiêu đến người dùng ở Đức, Argentina, Ý, Algeria, Tây Ban Nha, Hoa Kỳ, Nga, Pháp, Vương quốc Anh và Ma-rốc.

QBot (hay còn gọi là Qakbot hoặc Pinkslipbot) là một trojan ngân hàng, hoạt động ít nhất từ năm 2007. Bên cạnh việc đánh cắp các mật khẩu và cookie từ trình duyệt web, nó còn đóng vai trò như một cửa hậu để cấy các tải trọng cho giai đoạn tiếp theo như Cobalt Strike hoặc ransomware.

a1.png

Được phát tán thông qua các chiến dịch lừa đảo, phần mềm độc hại này đã liên tục nhận được các bản cập nhật trong suốt thời gian tồn tại của nó, bao gồm các kỹ thuật chống máy ảo, chống gỡ lỗi và chống sanbox để tránh bị phát hiện. Theo Check Point, nó cũng đã trở thành phần mềm độc hại phổ biến nhất trong tháng 3/2023.

Các nhà nghiên cứu của Kaspersky cho biết, những phương thức phát tán của Qbot là: "Ngay từ đầu, nó đã được phát tán thông qua các trang web bị nhiễm và phần mềm vi phạm bản quyền. Sau đó, nhân viên ngân hàng chuyển đến các nạn nhân tiềm năng thông qua phần mềm độc hại đã có sẵn trên các máy tính của họ, tấn công phi kỹ thuật (social engineering) và các thư rác".

Các cuộc tấn công chiếm quyền điều khiển chuỗi email không phải là mới. Nó xảy ra khi bọn tội phạm xâm nhập vào các cuộc hội thoại kinh doanh hiện có hoặc bắt đầu các cuộc hội thoại mới dựa trên thông tin thu thập được từ những tài khoản email chúng xâm phạm được trước đó.

Mục tiêu là lôi kéo các nạn nhân mở những liên kết độc hại hoặc các tệp đính kèm độc hại, trong trường hợp này là tệp PDF đính kèm giả dạng cảnh báo Microsoft Office 365 hoặc Microsoft Azure.

Việc mở tài liệu dẫn đến việc truy tìm một tệp lưu trữ từ một trang web bị nhiễm, kết quả bao gồm tệp Windows Script (.WSF) đã bị xáo trộn. Về phần mình, tập lệnh kết hợp tập lệnh PowerShell tải xuống DLL độc hại từ máy chủ từ xa. DLL đã tải xuống chính là phần mềm độc hại QBot.

Các phát hiện được đưa ra khi Elastic Security Labs phát hiện một chiến dịch kỹ thuật xã hội mà tin tặc “vũ khí hóa” những các tài liệu Microsoft Word để phát tán Agent Tesla và XWorm bằng một trình tải dựa trên .NET tùy chỉnh./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • Một số đổi mới quan trọng trong Dự thảo Luật Năng lượng nguyên tử (sửa đổi)
    Bàn về Dự thảo Luật Năng lượng nguyên tử (sửa đổi), Bộ trưởng Nguyễn Mạnh Hùng chỉ rõ Dự thảo Luật cho phép áp dụng các biện pháp đặc biệt để triển khai nhanh, như áp dụng cơ chế đặc biệt trong chỉ định thầu, sử dụng tiêu chuẩn quốc tế, tiêu chuẩn của người bán, dự án có khoản chi cho thẩm định và đào tạo. Quản lý toàn bộ vòng đời, qua nhiều giai đoạn của nhà máy điện hạt nhân, từ khâu chọn vị trí, nghiên cứu khả thi, đến giai đoạn đóng cửa, sau đóng cửa. Đây là cách tiếp cận toàn diện, theo kinh nghiệm qu
  • ScienceOne - Bước đột phá mới của AI
    Ngày 6/5/2025, Viện Tự động hóa thuộc Viện hàn lâm Khoa học Trung Quốc (CAS) đã chính thức công bố nền tảng nghiên cứu tích hợp trí tuệ nhân tạo (AI) mang tên ScienceOne, đánh dấu bước đột phá trong nỗ lực cách mạng hóa phương pháp nghiên cứu truyền thống thông qua tự động hóa AI.
  • Hơn 2.800 trang web phát tán mã độc nhắm vào người dùng macOS
    Một chiến dịch phát tán mã độc quy mô lớn đang nhắm mục tiêu vào người dùng hệ điều hành macOS thông qua hơn 2.800 trang web đã bị xâm nhập. Chiến dịch này sử dụng Atomic Stealer (AMOS) - một loại phần mềm độc hại tinh vi được thiết kế để đánh cắp dữ liệu nhạy cảm từ máy tính Apple.
  • Taxi robot Trung Quốc "bắt tay" Uber cung cấp dịch vụ tại Trung Đông
    Theo tuyên bố, quan hệ đối tác sẽ giúp cả hai bên khám phá các thị trường mới tại Trung Đông và các thị trường quốc tế khác.
  • Những phát minh sáng tạo của Phần Lan làm thay đổi thế giới
    Phần Lan có thể là một quốc gia nhỏ về mặt dân số nhưng những đóng góp của Phần Lan cho sự đổi mới toàn cầu thì không hề khiêm tốn.
Đừng bỏ lỡ
Chiến dịch Trojan ngân hàng phát tán phần mềm độc hại
POWERED BY ONECMS - A PRODUCT OF NEKO