Hacker sử dụng Contact Forms trên website để phân phối malware

Hacker sử dụng Contact Forms trên website để phân phối malware

April 14, 2021 | vietsunshine

Microsoft đã cảnh báo các tổ chức về một chiến dịch tấn công “độc nhất vô nhị” lạm dụng các biểu mẫu liên hệ được công bố trên các trang web để gửi các liên kết độc hại đến các doanh nghiệp thông qua email chứa các mối đe dọa pháp lý giả mạo, trong một trường hợp khác là những kẻ thù lợi dụng cơ sở hạ tầng hợp pháp để thực hiện các chiến dịch lẩn tránh vượt qua các biện pháp bảo mật.

“Các email hướng dẫn người nhận nhấp vào một liên kết để xem xét bằng chứng được cho là đằng sau cáo buộc của họ, nhưng thay vào đó, lại dẫn đến việc tải xuống IcedID, một phần mềm độc hại đánh cắp thông tin,” nhóm tình báo về mối đe dọa của công ty cho biết trong một bài viết được công bố vào thứ sáu tuần trước.

IceID là một trojan ngân hàng dựa trên Windows được sử dụng để do thám và lấy cắp thông tin xác thực ngân hàng, cùng với các tính năng cho phép nó kết nối với máy chủ điều khiển và ra lệnh từ xa (C2) để triển khai các tải trọng bổ sung như ransomware và phần mềm độc hại khác.

Hacker sử dụng Contact Forms trên website để phân phối malware_1

Các nhà nghiên cứu của Microsoft cho biết những kẻ tấn công có thể đã sử dụng một công cụ tự động để gửi email bằng cách lạm dụng biểu mẫu liên hệ của doanh nghiệp trong khi phá vỡ các biện pháp bảo vệ CAPTCHA. Bản thân các email này sử dụng các mối đe dọa pháp lý để đe dọa nạn nhân, tuyên bố rằng những người nhận “được cho là đã sử dụng hình ảnh hoặc minh họa của họ mà không có sự đồng ý của họ và hành động pháp lý sẽ được thực hiện chống lại họ.”

Hacker sử dụng Contact Forms trên website để phân phối malware_2

Bằng cách khơi gợi cảm giác cấp bách, ý tưởng là khiến nạn nhân tiết lộ thông tin nhạy cảm, nhấp vào một liên kết sơ sài hoặc mở một tệp độc hại. Trong chuỗi lây nhiễm này, đó là một liên kết đến trang sites.google.com, trang này yêu cầu người dùng đăng nhập bằng thông tin đăng nhập Google của họ, sau đó tệp lưu trữ ZIP sẽ tự động được tải xuống.

Tệp ZIP chứa một tệp JavaScript và tải xuống phần mềm độc hại IcedID. Hơn nữa, mã độc có khả năng tải xuống các bộ phận cấy ghép thứ cấp như Cobalt Strike, có khả năng khiến các nạn nhân bị ảnh hưởng gặp rủi ro hơn nữa.

Mặc dù vậy, lộ trình xâm nhập mới lạ, các cuộc tấn công vẫn là một dấu hiệu khác cho thấy các kẻ đe dọa liên tục điều chỉnh các chiến thuật kỹ thuật xã hội của họ để nhắm mục tiêu vào các công ty.

Các nhà nghiên cứu cho biết: “Các kịch bản […] cung cấp một cái nhìn tổng quát về cách các kỹ thuật của những kẻ tấn công tinh vi đã phát triển như thế nào, đồng thời duy trì mục tiêu cung cấp các phần mềm độc hại nguy hiểm như IcedID. Việc họ sử dụng các biểu mẫu gửi là đáng chú ý bởi vì các email không có dấu hiệu điển hình của các thư độc hại và dường như là hợp pháp.”

Nguồn: Hackers Using Website’s Contact Forms to Deliver IcedID Malware

Tags: ,