Gần đây, các cựu chiến binh Hoa Kỳ đã bị làm phiền bởi một trang web giả mạo đang ngụy trang thành một tổ chức cung cấp việc làm cho họ. May mắn thay, nhiều người trong số họ đã tìm ra sự thật về nó và nhận ra rằng nó chỉ được tạo ra với mục đích duy nhất là phát tán phần mềm độc hại giúp những kẻ tấn công kiểm soát hoàn toàn máy tính của nạn nhân.
Theo các nhà nghiên cứu từ Cisco Talos Group, tổ chức này tự gọi mình là Hire Military Heroes, hay HMH. Khi các cựu chiến binh truy cập trang web, nó sẽ thuyết phục họ tải xuống một ứng dụng dành cho máy tính để bàn được quảng cáo là giúp tìm kiếm cơ hội việc làm.
Cisco Talos Group nhấn mạnh rằng những kẻ tạo ra và tấn công đằng sau trang web này là Tortoiseshell. Đó là một kẻ tấn công mới được xác định đã nhắm mục tiêu vào nhiều công ty CNTT để lấy cơ sở dữ liệu khách hàng của họ.
Nhóm cho biết thêm, “Đây chỉ là hành động mới nhất của Tortoiseshell. Nghiên cứu trước đây cho thấy nam diễn viên đứng sau kẻ tấn công một nhà cung cấp CNTT ở Ả Rập Xê Út. Đối với chiến dịch mà Talos theo dõi này, Tortoiseshell đã sử dụng cùng một cửa hậu mà nó có trong quá khứ, cho thấy rằng họ đang dựa trên một số chiến thuật, kỹ thuật và quy trình (TTP) giống nhau. ”
Trang web thuê cựu chiến binh giả mạo này phát tán phần mềm độc hại như thế nào?
Rõ ràng, phần mềm độc hại nhắm mục tiêu vào các cựu chiến binh Hoa Kỳ. Vì vậy, nếu họ không hiểu biết về công nghệ hoặc hoàn toàn không biết rằng trang web tuyển dụng cựu chiến binh không có thật này có phần mềm độc hại, họ sẽ nhanh chóng bị dụ làm những gì họ được yêu cầu.
Đây là cách nó hoạt động. Khi họ truy cập trang web, họ sẽ được nhắc tải xuống một chương trình cho thiết bị của họ. Đối với máy tính Windows, phần mềm độc hại có trong tệp zip chứa chương trình có tên win10.exe.
Khi chương trình được khởi chạy, một màn hình tải nhỏ sẽ bật lên, cho biết rằng “Thuê các anh hùng quân đội là một nguồn lực mới để thuê các lực lượng vũ trang”. Nó đang cố gắng thuyết phục nạn nhân rằng nó hiện đang kết nối với cơ sở dữ liệu.
Sự thật là trong khi màn hình đang được hiển thị, phần mềm độc hại đã tải xuống hai thực thể phần mềm độc hại khác và lưu chúng vào máy tính.
Sau đó, một cảnh báo sẽ hiển thị trên màn hình cho biết “Giải pháp bảo mật của bạn đang chấm dứt kết nối với máy chủ của chúng tôi”. Cảnh báo giả chỉ được hiển thị để làm cho chương trình có vẻ an toàn và hợp pháp.
Tại thời điểm này, hai thực thể phần mềm độc hại đã được tải xuống và đang chạy trong nền. Phần mềm độc hại đầu tiên được tạo ra để thu thập thông tin về nạn nhân và máy tính, trong khi phần mềm khác thực thi tất cả các lệnh do kẻ tấn công đưa ra.
Phần mềm độc hại thu thập thông tin người dùng như thế nào?
Thực thể phần mềm độc hại đầu tiên được tải xuống sẽ chạy tổng cộng 111 lệnh. Tất cả chúng đều nhằm mục đích thu thập từng chút thông tin về nạn nhân và máy tính.
Sau khi thực thi, các lệnh sẽ liệt kê tất cả các tệp có trên máy tính, thông tin về ổ đĩa, tất cả các quy trình đang hoạt động, thông tin mạng hữu ích, tất cả các mạng chia sẻ, dữ liệu tường lửa, tài khoản người dùng hiện có được định cấu hình trên thiết bị và các chi tiết khác .
Sau khi tất cả thông tin được thu thập, mọi thứ sẽ được lưu vào một tệp có tên là % Temp% \ si.cab. Sau đó, nó sẽ được gửi lại cho những kẻ tấn công bằng thông tin đăng nhập email Gmail của nạn nhân.
Phần mềm độc hại thực thi các lệnh do kẻ tấn công gửi như thế nào?
Như đã đề cập, có hai thực thể phần mềm độc hại được tải xuống máy tính của nạn nhân. Cái đầu tiên sẽ thu thập thông tin, trong khi cái thứ hai sẽ thực hiện bất kỳ lệnh nào được gửi bởi những kẻ tấn công.
Thực thể phần mềm độc hại thứ hai có dạng Trojan truy cập từ xa. Nó sẽ được cài đặt dưới dạng dịch vụ Windows và được đặt tên là dllhost. Vì nó được cấu hình để khởi động tự động, nó sẽ chạy mỗi khi Windows khởi động.
Sau khi hoạt động, Trojan sẽ liên lạc lại với người tạo và máy chủ điều khiển của nó. Thông qua các máy chủ này, phần mềm độc hại nhận các lệnh để tải tệp lên, chấm dứt dịch vụ hoặc thậm chí thực thi các lệnh khác.
Cho đến nay, người ta vẫn chưa biết phần mềm độc hại này được phát tán như thế nào. Các nhà nghiên cứu thậm chí còn nói rằng “Tại thời điểm xuất bản, chúng tôi không có phương pháp phân phối được sử dụng, cũng như không có bằng chứng về việc điều này tồn tại trong tự nhiên. Mức độ phức tạp thấp do tệp nhị phân .NET được sử dụng có khả năng OPSEC kém, chẳng hạn như thông tin xác thực được mã hóa cứng, nhưng sau đó là các kỹ thuật nâng cao khác bằng cách làm cho phần mềm độc hại theo mô-đun và biết rằng nạn nhân đã chạy nó. ”
Họ cũng nói thêm, “Có khả năng nhiều nhóm từ APT đã làm việc trên nhiều yếu tố của phần mềm độc hại này, vì chúng tôi có thể thấy các mức độ tinh vi nhất định hiện có và các mức độ nạn nhân khác nhau.”
Mẹo ngăn chặn phần mềm độc hại
Nếu bạn muốn máy tính của mình được bảo vệ khỏi các thực thể phần mềm độc hại, bạn nên thực hiện các biện pháp phòng ngừa. Dưới đây là một số mẹo hữu ích cần xem xét:
Mẹo # 1:Cài đặt Phần mềm Chống Phần mềm độc hại.
Đây có vẻ như là một mẹo hiển nhiên, nhưng nhiều người thích bỏ qua nó. Có, máy tính của bạn có thể đã được tích hợp sẵn tính năng bảo vệ chống phần mềm độc hại. Tuy nhiên, bạn không bao giờ có thể chắc chắn như vậy. Chúng tôi khuyên bạn nên cài đặt phần mềm chống phần mềm độc hại đáng tin cậy của bên thứ ba trên máy tính của mình để nâng cấp bảo mật lên cấp độ tiếp theo. Sau khi cài đặt công cụ chống phần mềm độc hại, hành động tiếp theo của bạn là đảm bảo hệ điều hành của bạn được cập nhật.
Mẹo # 2:Cập nhật Hệ điều hành của bạn.
Bất kể bạn đang chạy macOS, Linux hay Windows, nhiệm vụ của bạn là luôn cập nhật nó. Các nhà phát triển hệ điều hành của bạn luôn làm việc để phát hành các bản vá bảo mật nhằm khắc phục các lỗi và sự cố đã báo cáo trước đó.
Mẹo # 3:Đảm bảo Mạng của bạn An toàn.
Tất cả chúng ta đều sử dụng máy tính của mình để kết nối với máy in, các máy tính khác và tất nhiên là cả internet. Đảm bảo rằng tất cả các kết nối của bạn đều an toàn yêu cầu sử dụng mật khẩu mạnh.
Ngoài ra, nếu có thể, không phát một mạng WiFi mở. Tốt nhất là sử dụng mã hóa WPA hoặc WPA2 vì WEP đã lỗi thời. Chỉ trong vài phút, tin tặc đã có thể vượt qua mã hóa WEP.
Bạn cũng nên tránh phát sóng SSID hoặc tên mạng WiFi của mình. Mặc dù điều này có nghĩa là bạn sẽ phải thiết lập mạng trên thiết bị của mình theo cách thủ công, nhưng nó cũng gợi ý một mạng an toàn hơn.
Mẹo số 4:Suy nghĩ trước khi nhấp.
Đây là một mẹo khác yêu cầu sử dụng ý thức thông thường. Nếu bạn không biết người gửi email, hãy tránh nhấp vào bất kỳ thứ gì. Hãy tạo thói quen di chuột qua liên kết trước để biết nó sẽ đưa bạn đến đâu. Ngoài ra, nếu bạn cần tải tệp xuống từ web, hãy quét tệp đó trước khi chạy.
Mẹo # 5:Tránh kết nối với mạng WiFi đang mở.
Khi bạn ở những nơi công cộng như thư viện, quán cà phê hoặc sân bay, hãy tránh kết nối với mạng WiFi mở. Hãy chắc chắn rằng bạn làm điều này, đặc biệt nếu bạn đang truy cập các ứng dụng ngân hàng hoặc các tài liệu có tính bảo mật cao. Có khả năng những kẻ tấn công đang ở trên cùng một mạng, kiên nhẫn chờ nạn nhân tiếp theo rơi vào miếng mồi của chúng.
Mẹo số 6:Có một bản sao lưu các tệp quan trọng của bạn.
Khi điều tồi tệ hơn xảy ra, điều tốt nhất bạn có thể làm là có một bản sao lưu các tệp quan trọng của mình. Tốt nhất, bạn nên lưu trữ bản sao lưu trên một thiết bị lưu trữ riêng biệt. Bằng cách này, khi đến lúc bạn không thể mở máy tính của mình nữa, bạn có thể dễ dàng khôi phục bản sao lưu và chuẩn bị sẵn sàng các tệp và tài liệu của mình trên một thiết bị khác.
Mẹo số 7:Thực hiện hành động.
Tất cả các mẹo và thông tin được chia sẻ ở đây đều vô ích nếu bạn không làm gì cả. Tất nhiên, bạn phải chủ động và làm bất cứ điều gì có thể để ngăn chặn sự tấn công của phần mềm độc hại. Nếu bạn không cài đặt phần mềm chống phần mềm độc hại, thì sẽ có lúc các mối đe dọa tìm cách tàn phá hệ thống của bạn.
Vấn đề ở đây là phải hành động. Chỉ cần ngồi đó trước máy tính của bạn sẽ không làm bất cứ điều gì chống lại các thực thể phần mềm độc hại.
Tóm tắt
Như những gì họ luôn nói, "Nếu điều đó là quá tốt để trở thành sự thật, thì nó có thể là không." Hãy suy nghĩ về nó. Bạn phải kiếm được việc làm. Bạn không thể dễ dàng hạ cánh một người chỉ bằng cách tải xuống các chương trình hoặc ứng dụng. Nếu bạn từng tìm thấy một trang web yêu cầu bạn tải xuống một chương trình để giúp bạn tìm được việc làm, hãy đóng nó ngay lập tức. Thôi nào, bạn luôn có thể tìm được việc làm tốt trên nhiều trang web hợp pháp.
Hãy thông minh. Đừng để bị lừa bởi những chiến thuật gian lận này. Thực hiện các biện pháp phòng ngừa để tin tặc không tìm ra cách đánh cắp thông tin quan trọng của bạn.
Bạn đã gặp các thực thể phần mềm độc hại tương tự khác trước đây chưa? Bạn đã đối phó với chúng như thế nào? Hãy cho chúng tôi biết trong phần bình luận.