[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max
Một chiến dịch phát tán mã độc mới đang được tin tặc tiến hành, lợi dụng vụ tai nạn máy bay Boeing 737 Max để phát tán mã độc xuống máy nạn nhân. Hiện tại, các email được phát tán có tiêu đề về các tài liệu bị rò rỉ về các sự cố và người nhận nên xem và chia sẻ với người thân để cảnh báo họ
![[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyQbtheAewtR0dq3H4gX5WXGTBgXnEvAaZNy9O_rcCan1bscgZFvopajn2mt-vDmb-ZTieXvD6A1_JqnWE31oP222_nKp97xKGsvQEHBvTW8zeiym3OHE52Pwj1n92Olgq33zkHi97HzBV/s1600/header-image+%25281%2529.jpg "[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org") |
| [Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org |
Chiến dịch này được phát hiện bởi 360 Threat Intelligence Center, bộ phận nghiên cứu của 360 Enterprise Security Group, cho biết các email chứa mã độc được phát tán từ địa chỉ email info@isgec[.]com và có tiêu đề "Fwd: Airlines plane crash Boeing 737 Max 8". Trong các email này đều được đính kèm một tập tin jar có tên "MP4_142019.jar"
![[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhbGcaNfuHGPQbWtCcQFINJMKWdvzrmbaFB_2yLb0i6s9MfWLTJ_JU6GpQpa_OWq9HXDmCc8h3OqbUlGiZk03HtZmXWFQVYJp4d955gX7hidj3EuuKlotL5H7SUIpwx_X5AUl2trqc-RcT_/s1600/2019-03-18_8-39-21.jpg "[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org") |
| [Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org |
Những email này giả mạo là từ một nhà phân tích tình báo tư nhân đã tìm thấy một tài liệu bị rò rỉ trên dark web và gởi các tài liệu chứa thông tin về các công ty hàng không khác sẽ bị ảnh hưởng bởi các sự cố tương tự trong thời gian tới.
![[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqo_2YmitTzvQG3WJy7moNPpOdvi5HjUhH3nd5o2lJqqEQRK8PImpYMrKSYpEDGAgWoui36wRaSIN8jHgyO67KZifIB9NpokR48RG7NuNpAO4jLaFE1w5X7gLFJqG-c6QI0rmPBfcssmHy/s1600/spam.jpg "[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org") |
| [Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org |
Nội dung email bao gồm:
Greetings
I believe you have heard about the latest crash Boeing 737 MAX 8 which happen on sunday 10 march 2019, All passengers and crew were killed in the accident
Ethiopian Airlines Flight ET302 from Addis Ababa, Ethiopia, to Nairobi, Kenya, crashed shortly after takeoff
The dead were of 35 different nationalities, including eight Americans.
On 29 October 2018, the Boeing 737 MAX 8 operating the route crashed into the Java Sea 12 minutes after takeoff.
All 189 passengers and crew were killed in the accident.
note: there was a leak information from Darkweb which listed all the airline companies that will go down soon.
kindly notify your love ones about the informations on these file.
Regards
Joshua Berlinger
private inteligent analyst
Nếu nạn nhân mở tệp JAR, một tệp tin Java sẽ được thực thi và cài đặt mã độc Houdini H-worm Remote Access Trojan, mã độc cho phép tin tặc truy cập máy nạn nhân từ xa. Bên cạnh đó, mã độc này sẽ tiếp tục cài đặt lên máy nạn nhân một mẫu mã độc đánh cắp thông tin có tên gọi Adwind và lưu cả 2 mẫu mã độc này bên trong thư mục ẩn %AppData%
![[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-5Ux92EwsaEkEKrHoFEl3d0uY2DUm5Fcx5Z1VaWKyeriyXK2DS1H7AM9r2Jx644u8tqLsBY0e39PiatMbA1LesObez4K6mkZcyNBbKVYSZX-TeROoEPCMTH3r_PItYjfWh89wZkXwfUr1/s1600/dropped-files.jpg "[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org") |
| [Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org |
Ntfsmgr.jar chính là mã độc Adwind Trojan [VirusTotal] và tệp VBS, được hiển thị bên dưới, là H-Worm RAT [VirusTotal].
![[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZ_2Ka7ExEqI3GVW0pRNPIcG3YtrjrnNfxcQTngG8HmtDJkepW2aprGamo8D1-SxDX-YP-AgbtdqIJ3Pd6sIXsqcinoi2d4LM8A9ioX1UixrvVpvSezLU85iwgR6bQbbzfEM5JYX9eDSDN/s1600/houdini.jpg "[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org") |
| [Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max - CyberSec365.org |
Hiện tại, các nhà nghiên cứu khuyến cáo người dùng nên cẩn thận khi mở bất kỳ email đính kèm nào. Nhất là các email được gởi từ người lạ và chứa các tiêu đề dễ gây tò mò. Bởi rất khó để xác định rằng họ sẽ gởi cho bạn những gì bên trong các tập tin đính kèm này.
Nguồn: CyberSec365.org
![[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc lợi dụng tin tức vụ tai nạn Boeing 737 Max](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyQbtheAewtR0dq3H4gX5WXGTBgXnEvAaZNy9O_rcCan1bscgZFvopajn2mt-vDmb-ZTieXvD6A1_JqnWE31oP222_nKp97xKGsvQEHBvTW8zeiym3OHE52Pwj1n92Olgq33zkHi97HzBV/s72-c/header-image+%25281%2529.jpg)
Không có nhận xét nào