Các cuộc tấn công mới khai thác lỗ hổng bảo mật zero-day trong Windows

0
0

- Gần đây, các chuyên gia phát hiện cuộc tấn công lừa đảo mới khai thác lỗ hổng zeroday của Windows để cài cắm phần mềm độc hại Qbot mà không hiển thị cảnh báo bảo mật từ Mark of the Web (MoTW).

MoTW là một luồng dữ liệu thay thế chứa thông tin về tệp tin, chẳng hạn như URL security zone nơi bắt nguồn tệp tin, chứa liên kết và URL để tải tệp.

Khi người dùng cố gắng mở tệp có thuộc tính MoTW, Windows sẽ hiển thị cảnh báo bảo mật hỏi xem họ có chắc chắn muốn mở tệp không.

Tháng trước, một cuộc tấn công lừa đảo phát tán phần mềm tống tiền Magniber bằng các tệp JavaScript đã bị phát hiện. Các tệp JavaScript này không giống với các tệp được sử dụng trên trang web thông thường mà là các tệp độc lập có phần mở rộng ‘.JS’ được thực thi bằng Windows Script Host (wscript.exe).

Các chiến dịch lừa đảo phần mềm độc hại Qbot trong thời gian gần đây đã phát tán các kho lưu trữ ZIP được bảo vệ bằng mật khẩu có chứa các hình ảnh ISO. Những hình ảnh ISOnayf chứa lối tắt Windows và tệp DLL để cài cắm phần mềm độc hại.

 

Hình ảnh ISO đã được sử dụng phân phối phần mềm độc hại vì Windows đã không truyền chính xác Mark of the Web tới các tệp bên trong chúng, cho phép các tệp chứa bên trong bỏ qua các cảnh báo bảo mật của Windows.

Sau một thời gian ngắn, trình tải phần mềm độc hại sẽ đưa Qbot DLL vào các quy trình hợp pháp của Windows để tránh bị phát hiện, chẳng hạn như wermgr.exe hoặc AtBorker.exe.

Qbot (hay còn gọi là Qakbot) là phần mềm độc hại Windows, ban đầu nó giống như một trojan ngân hàng nhưng đã phát triển thành phần mềm độc hại (malware dropper). Sau khi được tải xuống máy mục tiêu, phần mềm độc hại sẽ lặng lẽ chạy trong nền. No đánh cắp email để sử dụng trong các cuộc tấn công lừa đảo khác hoặc để cài đặt các phần mềm độc hại bổ sung như Brute Ratel, Cobalt Strike…

Việc cài đặt bộ công cụ hậu khai thác như Brute Ratel và Cobalt Strike thường dẫn đến các cuộc tấn công phức tạp hơn, chẳng hạn như đánh cắp dữ liệu và tấn công bằng mã độc tống tiền. Vì vậy, các cơ quan, tổ chức cần trang bị cho mình những kiến thức cũng như luôn sẵn sàng các biện pháp phòng tránh các nguy cơ, rủi ro về các mối đe dọa như trên.

Theo Trung tâm Giám sát an toàn không gian mạng quốc gia NCSC, các đơn vị cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác,…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời. 

Phạm Lê


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.