Chủ đề

(Không gian mạng) - Ngày 15/11, hãng bảo mật Proofpoint (Mỹ) công bố báo cáo cảnh báo, tin tặc đang thử nghiệm một dòng mã độc mới, phát tán qua email giả mạo gửi đến các ngân hàng thương mại và nhiều mục tiêu khác. 

Được gọi là tRat, mã độc này có khả năng mô đun, nghĩa là nó xâm nhập vào một mục tiêu để do thám và duy trì khả năng tải xuống các trình tải độc sau đó. Hãng bảo mật Proofpoint cho biết, tRat đang được nhóm tin tặc TA505 và nhiều nhóm khác sử dụng chỉ mới đây, vào tháng 10/2018. Ngoài ra, các chuyên gia vẫn chưa quan sát được mã độc truy cập từ xa (RAT) này được dùng để tải về bất kỳ loại mã độc nào khác trên máy nạn nhân, vì vậy mà mục đích của chiến dịch hiện vẫn còn chưa rõ.fgasgfag

“Chúng ta chỉ có thể dự đoán về những khả năng thật sự của RAT”, trưởng đội tình báo đe dọa mạng Chris Dawson của Proofpoint cho biết.

TA505 được Proofpoint mô tả là một nhóm có động cơ tài chính, từng liên quan đến nhiều vụ tấn công nổi tiếng như mã độc tống tiền Locky và mã độc ngân hàng Dridex.

Tương tự nhiều chiến dịch lừa đảo khác, tRat làm cho tập tài liệu chứa mã độc trông như hợp pháp, với logo rõ nét của các công ty như TripAdvisor hay Symantec. Trong báo cáo mới này, Proofpoint cho biết nhóm TA505 nhắm vào nhiều mục tiêu hơn. Chiến dịch nhắm đến các cơ sở ngân hàng thương mại với tiêu đề liên quan đến hóa đơn, báo cáo giả hoặc thông báo cuộc gọi.

Có thể TA505 chỉ đang thử nghiệm mã độc tRat. Proofpoint đã quan sát thấy nhóm này sử dụng các mã độc như Marap và công cụ do thám khác chỉ một thời gian ngắn rồi bỏ. Tuy nhiên, Proofpoint cũng nói, trong vài trường hợp, nhóm sử dụng mã độc, như Locky hay FlawedAmmyy, một thời gian dài sau giai đoạn thử nghiệm tương tự.

“Dù quy mô của chiến dịch cho thấy nó có thể là một cuộc thử nghiệm, nhưng TA505 vẫn là một nhóm có động cơ tài chính được tổ chức tốt”, Dawson nhận định.

Proofpoint cho biết tRat là mã độc mới nhất trong xu hướng mã độc ngày càng được trang bị nhiều mô đun hơn để tạo ra giá trị dài hạn hơn cho tin tặc, và TA505 có thể cũng bị ảnh hưởng bởi xu hướng này.

“Vì số lượng, tần suất và sự tinh vi trong các chiến dịch của mình, TA505 có thể trở thành điều đáng ngại trong các cuộc tấn công lừa đảo qua email”, Proofpoint đánh giá. “Hơn nữa, việc nhóm sử dụng mã độc RAT trong năm nay như một bước tiến về mã độc loader, đánh cắp và loại mã độc khác được thiết kế để hiện diện trên thiết bị và giúp tin tặc thu về lợi tức đầu tư dài hạn”.

Hồng Anh (Lược dịch từ Cyberscoop)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên