Chiến dịch phát tán mã độc núp bóng quỹ đầu tư muốn mua lại trang web

Trang tin chuyên về bảo mật BleepingComputer vừa nhận được một lời đề nghị mua lại. Tuy nhiên, khi điều tra kỹ thì đây là một chiến dịch phát tán mã độc khá tinh vi.

Tuần trước, BleepingComputer nhận được một email từ một địa chỉ IP thuộc về một công ty cung cấp máy chủ ảo ở Vương quốc Anh. Email có nội dung giả vờ là một quỹ đầu tư quan tâm tới việc đầu tư hoặc mua lại BleepingComputer.

Nội dung email như sau:

"Hello, we are a group of venture capitalists investing in promising projects. We saw your website and were astounded by your product. We want to discuss the opportunity to invest or buy a part of the share in your project. Please get in touch with us by phone or in Vuxner chat. Your agent is Philip Bennett. His username in Vuxner is philipbennett Make sure you contact us ASAP because we are not usually so generous with our offers. Thank you in advance!"

Lược dịch: "Xin chào, chúng tôi là một nhóm đầu tư mạo hiểm chuyên đầu tư vào các dự án đầy hứa hẹn. Chúng tôi muốn thảo luận về cơ hội đầu tư hoặc mua một phần cổ phần trong dự án của bạn. Vui lòng liên hệ với chúng tôi qua điện thoại hoặc Vuxner chat. Người phụ trách hỗ trợ bạn là Philip Bennett. Tên tài khoản của anh ấy trong Vuxner là philipbennett. Hãy đảm bảo rằng bạn liên hệ với chúng tôi càng sớm càng tốt vì chúng tôi thường không hào phóng với các đề nghị của mình. cảm ơn bạn trước!"

Do làm trong ngành bảo mật nên các biên tập viên BleepingComputer khá cảnh giác với email, tin nhắn và truy cập từ các trang không xác định. Vì thế, họ đã bật một máy ảo, cài VPN rồi tiến hành tìm kiếm phần mềm chat Vuxner.

Google chỉ hiển thị một vài kết quả cho từ khóa "Vuxner" trong đó có trang vuxner[.]com với thiết kế khá đẹp và trông chẳng có gì đáng ngờ. Trang này quảng cáo Vuxner Chat là phần mềm nhắn tin miễn phí nâng khả năng bảo vệ quyền riêng tư của bạn lên một tầm cao mới.

Vì đây có vẻ như là phần mềm Vuxner Chat mà những kẻ lừa đảo đã đề cập tới trong email nên BleepingComputer đã tải xuống và chạy nó trên máy ảo.

Trang tải ứng dụng Vuxner
Trang tải ứng dụng Vuxner

BleepingComputer nhận ra rằng file cài đặt VuxnerChat.exe thực ra sẽ tiến hành cài đặt ứng dụng nhắn tin "Trillian" và sau đó cài thêm mã độc vào máy ảo sau khi cài xong Trillian.

Tên Vuxner Chat nhưng lại cài đặt phần mềm nhắn tin Trillian
Tên Vuxner Chat nhưng lại cài đặt phần mềm nhắn tin Trillian

Sau khi phân tích kỹ hơn, BleepingComputer kết hợp với các nhà nhiên cứu của Cluster25 phát hiện ra rằng Vuxner Chat đang được dùng làm mồi nhử để cài đặt phần mềm điều khiển máy tính từ xa có tên RuRAT. Hacker ban đầu tìm cách truy cập vào một thiết bị sau đó chiếm quyền kiểm soát toàn bộ máy chủ.

Mã độc nhưng vẫn xin phép trước khi cài đặt
Mã độc nhưng vẫn xin phép trước khi cài đặt

Sau khi kiểm soát máy chủ, chúng có thể tìm kiếm thông tin xác thực và dữ liệu nhạy cảm hoặc sử dụng thiết bị đó như bệ phóng để tiếp tục lây chuyển theo chiều ngang trong mạng của nạn nhân.

Như các bạn có thể thấy, hacker đã tạo ra một chiến dịch khá phức tạp. Chúng xây dựng những trang web giả mạo, trình cài đặt tùy chỉnh và nhắm vào email để lây nhiễm cho nạn nhân.

Vì lý do này, các chủ doanh nghiệp và quản lý IT của các trang cần cảnh giác với những email bất thường yêu cầu bạn tải xuống một thứ gì đó để liên lạc với họ.

Thứ Hai, 07/03/2022 08:56
51 👨 228
0 Bình luận
Sắp xếp theo