DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Avaddon ransomware vẫn sử dụng kỹ thuật Excel 4.0 macros để lây lan
Microsoft cảnh báo gần đây rằng Avaddon ransomware đang lây nhiễm người dùng với tốc độ nhanh chóng sử dụng các kỹ thuật cũ và đã được biết đến. Avaddon ransomware dường như được nhắm vào các mục tiêu cụ thể và dựa trên kỹ thuật Excel 4.0 macro độc hại để tải xuống phần mềm độc hại trực tiếp trên hệ thống.
Chiến dịch tập trung chủ yếu vào người dùng ở Ý.
Avaddon ransomware đã xuất hiện vào đầu tháng 6, được phát tán trong một chiến dịch spam lớn không tập trung vào một người dùng cụ thể nào. Nội dung của email spam này chỉ bao gồm một biểu tượng nháy mắt hoặc một mặt cười. Kẻ tấn công đang đẩy mạnh việc lây nhiễm ransomware này theo những cách khác nhau.
Hiện tại, chưa có khóa để giải mã các tệp tin bị mã hóa bởi ransomware này. Để có được khóa giải mã, người dùng cần trả cho tin tặc một khoản tiền chuộc là $900.
Nhóm nghiên cứu bảo mật từ Microsoft cho biết, gần đây, tin tặc phát tán Avaddon ransomware thông qua các email spam nhằm vào người dùng ở Ý với các tệp đính kèm chứa Excel 4.0 macros độc hại.
Mẫu email spam được cung cấp bởi nhà phân tích phầm mềm độc hại, JamesWT_MHT có nội dung là một thông báo từ cơ quan có thẩm quyền cho một doanh nghiệp nhỏ liên quan đến vi phạm công việc trong thời kỳ khủng hoảng.
Chủ đề của email này là rất khẩn cấp, thông báo cho người nhận về các hình phạt và hành động pháp lý có thể xảy ra. Trong tệp đính kèm, có một tệp với phần mở rộng .ZIP có tên "Thông báo chính thức".
Tệp .ZIP này chứa một tệp Excel bao gồm Excel 4.0 macro độc hại. Khi macro độc hại này được khởi chạy, Avaddon ransomware sẽ được tải xuống và bắt đầu quá trình mã hóa tệp trên máy tính.
Kỹ thuật Excel 4.0 macro đã cũ
Việc chọn các Excel 4.0 macro để phát tán phần mềm độc hại có vẻ khá lạ lẫm, đặc biệt là khi kỹ thuật này được giới thiệu trong các sản phẩm của Microsoft Office 28 năm trước. Tuy nhiên, Avaddon ransomware và nhiều ransomware khác đã bắt đầu sử dụng nó gần đây.
Chuyên gia bảo mật từ Microsoft cho biết:
Ra mắt vào năm 1992, Excel 4.0 sử dụng các macro dựa trên XML để lưu trữ các hàm trong các bản ghi BIFF (Binary Interchange File Format). Điều này khiến chúng khó phân tích hơn so với các VBA macro đang được sử dụng kể từ Excel 5.0.
Chiến dịch tập trung chủ yếu vào người dùng ở Ý.
Avaddon ransomware đã xuất hiện vào đầu tháng 6, được phát tán trong một chiến dịch spam lớn không tập trung vào một người dùng cụ thể nào. Nội dung của email spam này chỉ bao gồm một biểu tượng nháy mắt hoặc một mặt cười. Kẻ tấn công đang đẩy mạnh việc lây nhiễm ransomware này theo những cách khác nhau.
Nhóm nghiên cứu bảo mật từ Microsoft cho biết, gần đây, tin tặc phát tán Avaddon ransomware thông qua các email spam nhằm vào người dùng ở Ý với các tệp đính kèm chứa Excel 4.0 macros độc hại.
Mẫu email spam được cung cấp bởi nhà phân tích phầm mềm độc hại, JamesWT_MHT có nội dung là một thông báo từ cơ quan có thẩm quyền cho một doanh nghiệp nhỏ liên quan đến vi phạm công việc trong thời kỳ khủng hoảng.
Chủ đề của email này là rất khẩn cấp, thông báo cho người nhận về các hình phạt và hành động pháp lý có thể xảy ra. Trong tệp đính kèm, có một tệp với phần mở rộng .ZIP có tên "Thông báo chính thức".
Tệp .ZIP này chứa một tệp Excel bao gồm Excel 4.0 macro độc hại. Khi macro độc hại này được khởi chạy, Avaddon ransomware sẽ được tải xuống và bắt đầu quá trình mã hóa tệp trên máy tính.
Kỹ thuật Excel 4.0 macro đã cũ
Việc chọn các Excel 4.0 macro để phát tán phần mềm độc hại có vẻ khá lạ lẫm, đặc biệt là khi kỹ thuật này được giới thiệu trong các sản phẩm của Microsoft Office 28 năm trước. Tuy nhiên, Avaddon ransomware và nhiều ransomware khác đã bắt đầu sử dụng nó gần đây.
Chuyên gia bảo mật từ Microsoft cho biết:
Ra mắt vào năm 1992, Excel 4.0 sử dụng các macro dựa trên XML để lưu trữ các hàm trong các bản ghi BIFF (Binary Interchange File Format). Điều này khiến chúng khó phân tích hơn so với các VBA macro đang được sử dụng kể từ Excel 5.0.
Microsoft nhận thấy sự gia tăng các chiến dịch email độc hại với Excel 4.0 macro trong vài tháng qua. Kể từ tháng 4, những kẻ tấn công bắt đầu sử dụng sự chú ý của người dùng vào coronavirus để phát tán phần mềm độc hại.
Tham khảo: viblo.asia, bleepingcomputer
