Các tin nhắn email đi kèm với một liên kết độc hại tận dụng lỗ hổng chuyển hướng mở để đưa người nhận đến một liên kết lưu trữ tài liệu PDF nhưng thực tế khi nhấp vào lại là một hình ảnh, dưới dạng tệp zip…
Hiện nay, hàng loạt các công ty, tổ chức, doanh nghiệp trở thành mục tiêu tấn công của các đối tượng lừa đảo nhằm chiếm thông tin, tài sản cũng như làm nhiễu loạn thông tin gây thiệt hại trực tiếp đến các tổ chức, doanh nghiệp nói chung và niềm tin của người dùng nói riêng.
Mới đây, tại Indonesia, một phiên bản cập nhật của phần mềm độc hại đánh cắp thông tin có tên Rhadamanthys đang được sử dụng trong các chiến dịch lừa đảo nhằm vào lĩnh vực dầu khí.
Theo các chuyên gia an ninh mạng, các tin nhắn email đi kèm với một liên kết độc hại tận dụng lỗ hổng chuyển hướng mở để đưa người nhận đến một liên kết lưu trữ tài liệu PDF, nhưng trên thực tế khi nhấp vào lại là một hình ảnh, dưới dạng tệp zip.
Đây được coi là một chiến dịch tiếp nối chiến dịch thư rác nhắm vào Indonesia sử dụng các mối liên quan đến ngân hàng để truyền bá phần mềm độc hại Agent Tesla để cướp thông tin nhạy cảm như thông tin đăng nhập, dữ liệu tài chính và tài liệu cá nhân.
Rhadamanthys được thiết kế để thiết lập các kết nối với máy chủ lệnh và kiểm soát (C2) để thu thập dữ liệu nhạy cảm từ các máy chủ bị xâm nhập. Chiến dịch này xuất hiện trong vòng vài ngày sau khi thực thi pháp luật gỡ bỏ nhóm ransomware LockBit.
Bên cạnh đó, Visa cũng đang cảnh báo về sự gia tăng đột biến trong việc phát hiện phiên bản mới của phần mềm độc hại JsOutProx nhắm vào các tổ chức tài chính và khách hàng của họ.
Trong một cảnh báo bảo mật, một chiến dịch lừa đảo mới phân phối trojan truy cập từ xa vào ngày 27/3 vừa qua. Chiến dịch này nhắm vào các tổ chức tài chính ở Nam và Đông Nam Á, Trung Đông và châu Phi.
Cụ thể, JsOutProx là một trojan truy cập từ xa (RAT) và cửa hậu JavaScript bị xáo trộn cao cho phép các nhà khai thác của nó chạy các lệnh shell, tải xuống các tải trọng bổ sung, thực thi tệp, chụp ảnh màn hình, thiết lập sự kiên trì trên thiết bị bị nhiễm và điều khiển bàn phím và chuột.
Các thông báo tài chính bịa đặt được gửi đến các mục tiêu thông qua email mạo danh các tổ chức hợp pháp, trình bày cho họ các thông báo thanh toán SWIFT hoặc MoneyGram giả mạo nhằm lừa đảo thông tin khách hàng. Đính kèm với các email là kho lưu trữ ZIP chứa các tệp .js, khi được thực thi, tải xuống các tải trọng JSOutProx độc hại từ kho lưu trữ GitLab.
Trước thông tin trên, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) khuyến cáo các doanh nghiệp, tổ chức cần cẩn trọng hơn trong việc quản lý hệ thống bảo mật. Các doanh nghiệp cần thường xuyên rà soát, kiểm tra và đánh giá đảm bảo an toàn hệ thống thông tin. Nâng cao trình độ chuyên môn để kịp thời ứng phó, giải quyết, khắc phục những nguy cơ, lỗ hổng, điểm yếu của các hệ thống mục tiêu khi bị tấn công.
