WuKong_top1
Writer
Một chiến dịch lừa đảo qua email đang nhắm vào doanh nghiệp bằng cách giả danh bộ phận mua hàng của Boeing. Kịch bản rất quen thuộc là gửi file đính kèm dạng “yêu cầu báo giá” để người nhận mở ra. Nhưng phía sau file này là một cái bẫy được chuẩn bị kỹ lưỡng.
Bề ngoài chỉ là file Word (.DOCX), nhưng bên trong lại chứa thêm nhiều lớp nội dung ẩn. Khi người dùng mở file, một chuỗi hành động âm thầm được kích hoạt, cho phép tải thêm dữ liệu từ Internet mà người dùng khó phát hiện.
Bề ngoài chỉ là file Word (.DOCX), nhưng bên trong lại chứa thêm nhiều lớp nội dung ẩn. Khi người dùng mở file, một chuỗi hành động âm thầm được kích hoạt, cho phép tải thêm dữ liệu từ Internet mà người dùng khó phát hiện.
Đáng chú ý, dữ liệu này được tải từ Filemail - một dịch vụ chia sẻ file hợp pháp. Chính vì vậy, nhiều hệ thống bảo mật dễ “bỏ qua” vì tưởng là hoạt động bình thường. Gói tải về trông giống tài liệu và phần mềm hợp lệ, nhưng thực chất chứa mã độc được ngụy trang rất khéo.
Khi hoàn tất, mã độc không lưu lại thành file rõ ràng trên máy mà hoạt động trực tiếp trong bộ nhớ, khiến phần mềm diệt virus khó phát hiện. Công cụ bị lợi dụng trong giai đoạn này là Cobalt Strike, được dùng cho kiểm thử bảo mật nhưng thường bị tin tặc khai thác.
Dù cách tấn công khá tinh vi, các chuyên gia cho biết chiến dịch vẫn để lộ nhiều dấu vết do tái sử dụng hạ tầng cũ. Hãy cảnh giác cả những file quen thuộc như DOCX nhé!
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
