“Adwind Malware” nhắm vào ngành công nghiệp tiện ích

Phần mềm độc hại khét tiếng Adwind đã sẵn sàng để chiếm lĩnh lĩnh vực tiện ích lần này. Các nhà nghiên cứu đã phát hiện ra một chiến dịch lừa đảo cung cấp dịch vụ phần mềm độc hại này thông qua việc giả mạo pdf.

Chiến dịch lừa đảo phân phối phần mềm độc hại

Được biết, nhóm Cofense đã vấp phải một chiến dịch lừa đảo khác trong tự nhiên. Lần này, chiến dịch nhắm vào ngành công nghiệp tiện ích với phần mềm độc hại Adwind.

Theo giải thích của các nhà nghiên cứu trong bài đăng trên blog, cuộc tấn công bắt đầu khi người dùng nhận được email lừa đảo. Trong chiến dịch phần mềm độc hại mà họ nhận thấy, email đến từ tài khoản Friary Shoes bị hack. Nó có một thông báo ngắn gọn với một tệp hình ảnh trông giống như tệp đính kèm pdf.

Hình ảnh đính kèm chứa một URL nhúng tải xuống tải trọng trên thiết bị đích khi người dùng nhấp vào nó. Tải trọng này trông giống như tệp đính kèm pdf nhưng thực chất là tệp .jar thực thi phần mềm độc hại.

Giới thiệu về phần mềm độc hại Adwind

Adwind RAT, còn được gọi là JRAT, SockRat, và nhiều tên khác, một lần nữa đưa nó lên tin tức với chiến dịch này. Trước đây, nó đã gây chú ý trở lại vào năm 2017 khi nhắm mục tiêu hơn 1500 tổ chức tại hơn 100 quốc gia. Phần mềm độc hại mang các thuộc tính độc hại mạnh mẽ khiến cho các tác nhân đe dọa mong muốn. Nó có thể chụp ảnh màn hình của thiết bị đích, truy cập máy ảnh và micrô của thiết bị để theo dõi người dùng, thu thập dữ liệu từ thiết bị và hoạt động như một keylogger.

Trong chiến dịch được phát hiện, phần mềm độc hại liên tục tiếp cận hệ thống đích thông qua email lừa đảo. Sau khi thực hiện, nó sẽ cài đặt chương trình trong thư mục ‘TEMP. Theo giải thích của các nhà nghiên cứu,

Sau khi được thực thi, chúng ta có thể thấy rằng hai quá trình java.exe được tạo để tải hai tệp. Class riêng biệt. Sau đó, JRAT báo hiệu cho máy chủ chỉ huy và điều khiển của nó: hxxp: // ns1648 [.] Ztomy [.] Com Adwind cài đặt các phụ thuộc của nó và thu thập thông tin trong: C: \ Users \ Byte \ AppData \ Local \ Temp \.

Phần mềm độc hại cũng cố gắng trốn tránh phân tích và phát hiện bảo mật. Nó quét thiết bị để tìm sự hiện diện của các công cụ chống phần mềm phổ biến và vô hiệu hóa nó thông qua taskkill.exe. Do đó, nó trở nên khó phát hiện và loại bỏ khỏi hệ thống.

Để được bảo vệ khỏi phần mềm độc hại này, người dùng phải tránh mở các email như vậy từ các nguồn không đáng tin cậy. Và ngay cả khi bạn mở những email như vậy, hãy đảm bảo không nhấp vào bất kỳ tệp đính kèm nào.

Leave a Reply