Tin tức và phân tích của tất cả các thiết bị di động
PC

▷ Microsoft phát hiện các cuộc tấn công phần mềm độc hại Evil Corp mới

Microsoft đã quan sát thấy rằng nhóm hack được gọi là Evil Corp hoặc TA505 đã chuyển các chiến thuật trong chiến dịch lừa đảo đang diễn ra để cung cấp phần mềm độc hại bằng cách sử dụng các tài liệu Excel độc hại.

Công ty đã cung cấp thêm chi tiết về chiến dịch mới trong một loạt các tweet trong đó các nhà nghiên cứu của họ nói rằng tải trọng cuối cùng hiện đang được phân phối bằng cách sử dụng tài liệu Excel có chứa macro độc hại.

Evil Corp đã hoạt động từ năm 2014 và nhóm tội phạm mạng có động lực tài chính. Nó được biết đến với mục tiêu là các công ty bán lẻ cũng như các tổ chức tài chính bằng cách sử dụng các chiến dịch spam độc hại lớn được cung cấp bởi botnet Necurs.

  • Gần một nửa số công nhân đã nhấp vào email lừa đảo
  • Hàng triệu người dùng Microsoft đang sử dụng lại mật khẩu
  • Tấn công lừa đảo Office 365 nhắm vào tài khoản quản trị viên

Các nhà nghiên cứu từ Microsoft Security Intelligence đã giải thích cách chiến dịch mới của Evil Corp hoạt động trong một tiếng riu ríu, trong đó đọc:

Chiến dịch mới sử dụng các chuyển hướng HTML được đính kèm vào email. Khi được mở, HTML dẫn đến Dudear tải xuống, một tệp Excel chứa macro độc hại làm giảm tải trọng. Ngược lại, các chiến dịch email Dudear trước đây mang phần mềm độc hại dưới dạng tệp đính kèm hoặc URL đã sử dụng.

Evil Corp

Chiến dịch mới này đánh dấu lần đầu tiên Evil Corp sử dụng các bộ chuyển hướng HTML như một phần của các cuộc tấn công. Các chiến dịch email trước đây được thực hiện bởi nhóm đã sử dụng tệp đính kèm hoặc URL tải xuống độc hại để phân phối tải trọng độc hại của họ.

Chiến dịch mới nhất của Evil Corp gửi các tin nhắn lừa đảo đi kèm với tệp đính kèm HTML tự động bắt đầu tải xuống tệp Excel được sử dụng để giảm tải. Nạn nhân được yêu cầu mở tài liệu Excel trên máy tính của họ và cho phép chỉnh sửa để truy cập nội dung của nó.

Khi điều này được thực hiện, phần mềm độc hại cũng sẽ cố gắng thả một trojan truy cập từ xa (RAT) được gọi là Grace Wire hoặc FlawedGrace vào hệ thống của nạn nhân.

Tội phạm mạng đằng sau chiến dịch mới này thậm chí đã sử dụng các tệp HTML được bản địa hóa bằng các ngôn ngữ khác nhau để tiếp cận nạn nhân từ khắp nơi trên thế giới.

  • Chúng tôi cũng đã nhấn mạnh phần mềm chống vi-rút tốt nhất

Qua BleepingComputer


Khuyến Khích: