[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng trên LinkedIn
Ngày 21/2/2019, các nhà nghiên cứu bảo mật thuộc hãng bảo mật Proofpoint cho biết họ đã phát hiện một chiến dịch phát tán mã độc, giả dạng các nhà tuyển dụng để phát tán cửa hậu (backdoor) có tên gọi More_eggs, nhắm mục tiêu vào những người đang tìm việc.
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org |
Theo đó, chiến dịch tấn công này được thực hiện trong một khoảng thời gian dài. Kẻ tấn công tạo các tài khoản tuyển dụng trên LinkedIn và tiến hành kết bạn, nhắn tin trực tiếp với nạn nhân để làm quen và sau đó gởi các liên kết, email chứa mã độc đến nạn nhân
Cụ thể, các nhà nghiên cứu tại Proofpoint cho biết chiến dịch này đã được theo dõi từ giữa năm 2018. Kẻ tấn công cố gắng thiết lập một mối quan hệ thân thiết với các nạn nhân được chọn thông qua LinkedIn. Trong các thông tin liên hệ, kẻ tấn công sử dụng các thông tin cho biết mình đến từ bộ phận nhân sự của một công ty với lời mời hợp tác làm việc.
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org |
Trong vòng 1 tuần kể từ khi kết bạn, kẻ tấn công sẽ tiếp tục gởi các thông tin hối thúc nạn nhân để nhắc nhở về những kết nối và lời đề nghị của mình. Cách trình bày của kẻ tấn công rất chuyên nghiệp với tiêu đề, nội dung và đường link ẩn để dẫn dụ nạn nhân nhấp vào xem thông tin
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org |
Thông thường, kẻ tấn công sẽ dùng các đường link ẩn, giả mạo các công ty quản lý nhân sự để lấy sự tin tưởng của nạn nhân. Sau khi truy cập, các website này sẽ từ động tải xuống một tập tin Office chứa các macro độc hại. Nếu người dùng kích hoạt macro, mã độc More_eggs sẽ tự động đươcụ tải xuống. Trong trường hợp người dùng không sử dụng macro, trình tải xuống JScript sẽ tiến hành tải mã độc này xuống máy nạn nhân.
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org |
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org |
Trong quá trình theo dõi, các nhà nghiên cứu nhận ra rằng chiến dịch này sử dụng rất nhiều phương thức phát tán mã độc bao gồm:
- Sử dụng URL dẫn để một website và tự động tải xuống tập tin Office chứa mã Macro hoặc sử dụng mã JScrip trung gian.
- Sử dụng trình rút gọn URL chuyển hướng đến cùng một trang đích
- Đính kèm tệp Office chứa URL độc hại và gởi qua Email
- Phát tán tệp Office được đặt mật khẩu đính kèm với mã Macro
Tuy nhiên, tất cả các phương thức đều nhằm phát tán mã độc More_egss.
Nguồn: Proofpoint
Không có nhận xét nào