WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Hơn 100.000 website cung cấp các tài liệu PDF độc hại
Một hình thức lừa đảo mới bằng PDF vừa được các chuyên gia bảo mật của eSentire phát hiện. Tội phạm mạng sử dụng các kỹ thuật đầu độc cơ chế tìm kiếm để lừa các nhân sự làm việc trong lĩnh vực kinh doanh truy cập vào các trang Google có vẻ hợp pháp, từ đó cài cắm Trojan truy cập từ xa (RAT) có khả năng thực hiện các cuộc tấn công trên diện rộng.
Nhu cầu tìm kiếm các biểu mẫu kinh doanh như hóa đơn, mẫu tài liệu, bảng câu hỏi và các biên lai của người dùng là bước đệm giúp hacker xâm nhập vào hệ thống. Khi tải các biểu mẫu này, người dùng sẽ bị điều hướng đến một website độc hại có chữa mã độc mà không hề hay biết.
Các nhà nghiên cứu của eSentire cho biết: “Một khi mã độc RAT xâm nhập được vào máy của nạn nhân và được kích hoạt, kẻ xấu có thể gửi các lệnh và cài cắm thêm mã độc lên hệ thống, như ransomware, mã độc đánh cắp thông tin đăng nhập, trojan banking, hoặc chỉ đơn giản là để RAT “nằm vùng” trong mạng của nạn nhân.
Các chuyên gia cho biết họ đã phát hiện hơn 100.000 các trang web có chứa các thuật ngữ kinh doanh hoặc từ khóa phổ biến như biểu mẫu, hóa đơn, biên lai, bảng và sơ yếu lý lịch cho phép các trang này được xếp hạng cao hơn trên kết quả tìm kiếm, do đó tăng khả năng thành công.
Khi nạn nhân truy cập vào website bị tin tặc kiểm soát và tải các tài liệu tìm kiếm về máy, đây là điểm khởi đầu cho các nguy cơ tinh vi hơn nhiều, cuối cùng dẫn đến việc cài đặt một mã độc RAT được xây dựng trên nền tảng .NET có tên SolarMaker (hay Yellow Cockatoo, Jupyter và Polazert).
Trong một trường hợp cụ thể là nhân viên của một công ty quản lý tài chính, eSentire cho biết mã độc ngụy trang dưới dạng một tài liệu PDF, sau đó khởi chạy và triển khai mã độc RAT cùng với phiên bản hợp pháp Slime PDF để che giấu hành vi.
Chuyên gia của eSentire cho biết: “Một tổ chức tội phạm mạng về tài chính có thể chú ý đến một nhân viên làm việc trong một phòng ban hay một tổ chức tài chính, một mục tiêu có giá trị cao. Thật không may, một khi RAT được cài vào máy tính, các nguy cơ tiềm ẩn là rất cao”.
Nhu cầu tìm kiếm các biểu mẫu kinh doanh như hóa đơn, mẫu tài liệu, bảng câu hỏi và các biên lai của người dùng là bước đệm giúp hacker xâm nhập vào hệ thống. Khi tải các biểu mẫu này, người dùng sẽ bị điều hướng đến một website độc hại có chữa mã độc mà không hề hay biết.
Các nhà nghiên cứu của eSentire cho biết: “Một khi mã độc RAT xâm nhập được vào máy của nạn nhân và được kích hoạt, kẻ xấu có thể gửi các lệnh và cài cắm thêm mã độc lên hệ thống, như ransomware, mã độc đánh cắp thông tin đăng nhập, trojan banking, hoặc chỉ đơn giản là để RAT “nằm vùng” trong mạng của nạn nhân.
Các chuyên gia cho biết họ đã phát hiện hơn 100.000 các trang web có chứa các thuật ngữ kinh doanh hoặc từ khóa phổ biến như biểu mẫu, hóa đơn, biên lai, bảng và sơ yếu lý lịch cho phép các trang này được xếp hạng cao hơn trên kết quả tìm kiếm, do đó tăng khả năng thành công.
Khi nạn nhân truy cập vào website bị tin tặc kiểm soát và tải các tài liệu tìm kiếm về máy, đây là điểm khởi đầu cho các nguy cơ tinh vi hơn nhiều, cuối cùng dẫn đến việc cài đặt một mã độc RAT được xây dựng trên nền tảng .NET có tên SolarMaker (hay Yellow Cockatoo, Jupyter và Polazert).
Trong một trường hợp cụ thể là nhân viên của một công ty quản lý tài chính, eSentire cho biết mã độc ngụy trang dưới dạng một tài liệu PDF, sau đó khởi chạy và triển khai mã độc RAT cùng với phiên bản hợp pháp Slime PDF để che giấu hành vi.
Theo The Hacker News