Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lừa đảo mạo danh công ty tuyển dụng toàn cầu để phát tán mã độc
Một chiến dịch lừa đảo đang diễn ra, mạo danh các chuyên gia tư vấn của Michael Page để phát tán mã độc Ursnif có khả năng lấy cắp thông tin đăng nhập và dữ liệu nhạy cảm.
Michael Page trực thuộc doanh nghiệp tuyển dụng PageGroup có trụ sở tại Anh, hoạt động tại Châu Mỹ, Anh, Châu Âu, Châu Á-Thái Bình Dương và Châu Phi.
Michael Page UK cho biết: “Nhân viên công ty chúng tôi đang bị mạo danh trong chiến dịch tấn công toàn cầu. Chúng tôi tự tin rằng không có hệ thống PageGroup nào bị xâm nhập”. Hãng này xác nhận hacker không xâm nhập máy chủ mà chỉ giả mạo nhân viên trong các email lừa đảo được gửi đến các mục tiêu ngẫu nhiên.
PageGroup kêu gọi những người đã nhận email lừa đảo hoặc bất kỳ email nào đến từ Michael Page có vẻ đáng ngờ thì "đừng trả lời hoặc nhấp vào" vào bất kỳ liên kết nào nhúng trong đó.
Theo nhà nghiên cứu bảo mật TheAnalyst, những email này sử dụng các liên kết được nhúng để chuyển hướng nạn nhân đến các trang đích lừa đảo có tính năng kiểm tra GeoIP và antibot.
Sau đó, các nạn nhân được yêu cầu tải xuống các archive chứa các bảng tính Microsoft Excel (XSLM) với macro độc hại, yêu cầu nạn nhân cho phép chỉnh sửa để giải mã và mở tài liệu.
Sau khi nạn nhân bật macro, sẽ thấy một tài liệu với thông tin về vị trí quản lý giả mạo, trong khi đó mã độc Ursnif được tải xuống và cài đặt trên máy tính của họ ở chế độ nền.
Ursnif (còn được gọi là Gozi v2.0, Gozi ISFB, ISFB và Pandemyia) là một trojan đánh cắp thông tin và là phiên bản tiếp theo của Gozi (Gozi CRM) có mã nguồn vô tình bị rò rỉ trực tuyến năm 2010. Kể từ đó, kẻ xấu đã sử dụng mã để xây dựng các chủng trojan ngân hàng khác như GozNym.
Khi lây nhiễm vào máy tính, Ursnif ghi lại các lần gõ phím của nạn nhân, các trang web họ truy cập… vào các file log và gửi lại máy chủ của hacker.
Từ dữ liệu thu được, kẻ tấn công có thể lấy cắp thông tin đăng nhập của nạn nhân và các dữ liệu nhạy cảm khác để xâm nhập vào tài khoản hoặc hệ thống.
Michael Page trực thuộc doanh nghiệp tuyển dụng PageGroup có trụ sở tại Anh, hoạt động tại Châu Mỹ, Anh, Châu Âu, Châu Á-Thái Bình Dương và Châu Phi.
Michael Page UK cho biết: “Nhân viên công ty chúng tôi đang bị mạo danh trong chiến dịch tấn công toàn cầu. Chúng tôi tự tin rằng không có hệ thống PageGroup nào bị xâm nhập”. Hãng này xác nhận hacker không xâm nhập máy chủ mà chỉ giả mạo nhân viên trong các email lừa đảo được gửi đến các mục tiêu ngẫu nhiên.
PageGroup kêu gọi những người đã nhận email lừa đảo hoặc bất kỳ email nào đến từ Michael Page có vẻ đáng ngờ thì "đừng trả lời hoặc nhấp vào" vào bất kỳ liên kết nào nhúng trong đó.
Theo nhà nghiên cứu bảo mật TheAnalyst, những email này sử dụng các liên kết được nhúng để chuyển hướng nạn nhân đến các trang đích lừa đảo có tính năng kiểm tra GeoIP và antibot.
Sau đó, các nạn nhân được yêu cầu tải xuống các archive chứa các bảng tính Microsoft Excel (XSLM) với macro độc hại, yêu cầu nạn nhân cho phép chỉnh sửa để giải mã và mở tài liệu.
Sau khi nạn nhân bật macro, sẽ thấy một tài liệu với thông tin về vị trí quản lý giả mạo, trong khi đó mã độc Ursnif được tải xuống và cài đặt trên máy tính của họ ở chế độ nền.
Ursnif (còn được gọi là Gozi v2.0, Gozi ISFB, ISFB và Pandemyia) là một trojan đánh cắp thông tin và là phiên bản tiếp theo của Gozi (Gozi CRM) có mã nguồn vô tình bị rò rỉ trực tuyến năm 2010. Kể từ đó, kẻ xấu đã sử dụng mã để xây dựng các chủng trojan ngân hàng khác như GozNym.
Khi lây nhiễm vào máy tính, Ursnif ghi lại các lần gõ phím của nạn nhân, các trang web họ truy cập… vào các file log và gửi lại máy chủ của hacker.
Từ dữ liệu thu được, kẻ tấn công có thể lấy cắp thông tin đăng nhập của nạn nhân và các dữ liệu nhạy cảm khác để xâm nhập vào tài khoản hoặc hệ thống.
Nguồn: Bleeping Computer
Chỉnh sửa lần cuối: