Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra hoạt động của một nhóm hacker mới có động cơ tài chính đang nhắm vào một số doanh nghiệp và tổ chức ở Đức, Ý và Hoa Kỳ. Được biết, những kẻ này thường sử dụng backdoor, Trojan ngân hàng và ransomware để lây nhiễm và xâm nhập vào hệ thống mà chúng nhắm tới.
Mặc dù các chiến dịch malware mới không được tùy chỉnh cho từng tổ chức, nhưng có vẻ như các hacker hướng trọng tâm nhiều hơn đến các doanh nghiệp, dịch vụ CNTT, sản xuất và chăm sóc sức khỏe – các ngành vốn sở hữu hệ thống dữ liệu đặc biệt quan trọng và có khả năng chi trả khoản tiền chuộc cao.
Báo cáo của ProofPoint cho biết đã phát hiện thấy các hacker đang gửi một số lượng nhỏ các email mạo danh các tổ chức Chính phủ liên quan đến tài chính (các hoạt động đánh giá và hoàn trả thuế) cho các tổ chức mà chúng nhắm tới.
Chiến dịch malware mới đang bị khai thác trên diện rộng
Trong hầu hết các chiến dịch email lừa đảo mà các nhà nghiên cứu quan sát được từ ngày 16 tháng 10 đến ngày 12 tháng 11 năm nay, những kẻ tấn công đã sử dụng các tệp đính kèm tài liệu độc hại dưới định dạng Word làm véc-tơ ban đầu để xâm nhập vào thiết bị.
Sau khi mở, những tài liệu này sẽ thực thi tập lệnh macro để chạy các lệnhPowerShell độc hại, sau đó cuối cùng sẽ tải xuống và cài đặt một trong các tảitrọng sau vào hệ thống của nạn nhân:
- Maze Ransomware,
- Trojan ngân hàng IcedID,
- Backdoor Cobalt Strike.
Bên cạnh việc sử dụng kỹ thuật social engineering để làm cho các email lừa đảo trở nên đáng tin hơn, những kẻ tấn công cũng đồng thời sử dụng các tên miền, verbiage và đánh dấu thương hiệu trông giống như thật để mạo danh:
- Bundeszentralamt fur Steuern, Bộ Tài chính Liên bang Đức,
- Agenzia Delle Entrate, Cơ quan doanh thu Ý,
- 1