Chiến dịch malware Adwind mới nhắm mục tiêu vào ngành công nghiệp tiện ích thông qua các kỹ thuật lừa đảo

42
Chiến dịch malware Adwind

Lần này malware khét tiếng Adwind đã sẵn sàng để chiếm lĩnh ngành công nghiệp tiện ích (utilities sector). Các nhà nghiên cứu đã phát hiện ra một chiến dịch lừa đảo cung cấp dịch vụ phần mềm độc hại (malware-as-a-service) này thông qua việc giả mạo pdf.

Chiến dịch lừa đảo phân phối malware

Nhóm Cofense đã phát hiện ra một chiến dịch lừa đảo phishing mới. Lần này, chiến dịch nhắm vào ngành công nghiệp tiện ích với phần mềm độc hại Adwind.

Theo giải thích của các nhà nghiên cứu trong bài đăng trên blog, cuộc tấn công bắt đầu khi người dùng nhận được một email lừa đảo. Email này đến từ một tài khoản Friary Shoes đã bị hack. Nội dung là một thông báo ngắn gọn với một tệp hình ảnh trông giống như tệp đính kèm pdf.

Hình ảnh đính kèm chứa một URL nhúng tải xuống payload trên thiết bị mục tiêu khi người dùng nhấp vào nó. Payload này trông giống như một tệp đính kèm pdf nhưng thực chất là tệp .jar thực thi phần mềm độc hại.

Email lừa đảo
Source: Cofense

Giới thiệu về malware Adwind

Adwind RAT, còn được biết đến với các tên gọi như JRAT, SockRat, và một số tên gọi khác, đã một lần nữa thu hút sự chú ý của công chúng khi được khai thác sử dụng trong các chiến dịch tấn công mới bị phát hiện.

Trước đây, malware này đã từng gây xáo trộn vào năm 2017 khi nhắm mục tiêu vào hơn 1500 tổ chức tại hơn 100 quốc gia. Adwind mang các thuộc tính độc hại mạnh mẽ mà các hacker vô cùng yêu thích. Nó có thể chụp ảnh màn hình của thiết bị mục tiêu, truy cập máy ảnh và micrô của thiết bị để theo dõi người dùng hay thậm chí thu thập dữ liệu từ thiết bị và hoạt động như một keylogger.

Trong chiến dịch được phát hiện, malware liên tục tiếp cận hệ thống đích thông qua các email lừa đảo. Sau khi thực hiện, nó sẽ cài đặt chương trình trong thư mục ‘TEMP’.

Các nhà nghiên cứu cho biết sau khi được thực thi, hai quá trình java.exe được tạo để tải hai tệp .class riêng biệt. Sau đó, JRAT báo hiệu cho máy chủ chỉ huy và điều khiển của Adwin là: hxxp: // ns1648 [.] ztomy [.] com cài đặt các phụ thuộc và thu thập thông tin trong: C: \ Users \ Byte \ AppData \ Local \ Temp \.

Malware cũng cố gắng trốn tránh các hoạt động phân tích và phát hiện bảo mật. Nó quét thiết bị để tìm sự hiện diện của các công cụ chống phần mềm phổ biến (antimalware tool) và vô hiệu hóa nó thông qua taskkill.exe. Do đó, Alwind trở nên vô cùng khó phát hiện và loại bỏ khỏi hệ thống.

Để được bảo vệ khỏi phần mềm độc hại này, người dùng phải tránh mở các email như vậy từ các nguồn không đáng tin cậy. Và ngay cả khi bạn mở những email dạng này, hãy đảm bảo không nhấp vào bất kỳ tệp đính kèm nào.

LHN

BÌNH LUẬN

Please enter your comment!
Please enter your name here