Phần mềm độc hại đánh cắp mật khẩu, tài khoản ngân hàng nhờ... tấn công MS Word
Một loại phần mềm độc hại nguy hiểm có tên SVCReady vừa bị “bắt quả tang” khi đang lấy thông tin hệ thống để gửi ra ngoài.
Theo TechRadar, các nhà nghiên cứu an ninh mạng từ HP Wolf Security đã phát hiện ra một loại phần mềm độc hại mới đang được lây nhiễm thông qua các tệp Microsoft Word.
Tài liệu Microsoft Word đang là vũ khí tấn công của tin tặc.
Phần mềm độc hại được gọi là SVCReady, cho phép những kẻ xấu đánh cắp thông tin hệ thống, chẳng hạn như firmware của thiết bị và được cài đặt trên các thiết bị đầu cuối, báo cáo cho biết. Nó đang được triển khai đồng thời với một loại virus khác tương đối phổ biến được gọi là RedLine Stealer. Chúng được sử dụng để lấy cắp mật khẩu, dữ liệu thanh toán đã lưu, lịch sử duyệt web và những thứ tương tự.
Kẻ đe dọa triển khai phần mềm độc hại thông qua các tài liệu Microsoft Word được “phù phép”, bằng cách sử dụng shellcode được lưu trữ trong các thuộc tính của tài liệu. Cách thức này khá khác biệt so với kiểu tấn công thường thấy sử dụng PowerShell hoặc MSHTA.
Các nhà nghiên cứu cho biết, mặc dù chủng virus này vẫn còn trong giai đoạn sơ khai, và rõ ràng là có cả một “công trình độc hại” đang được xây dựng.
Phần mềm độc hại hiện tại không quá nguy hiểm. Patrick Schläpfer, nhà phân tích phần mềm độc hại tại HP Wolf Security, lập luận rằng với những kẻ đe dọa đang làm việc chăm chỉ để phát triển SVCReady, vì vậy chúng ta không thể coi thường sự nguy hiểm mà nó mang lại.
Schläpfer nói: “Một vài thứ trong phần mềm độc hại đã bị lỗi. SVCReady rõ ràng đang được phát triển và những kẻ độc hại đã thêm mã hóa vào định dạng giao tiếp kết nối mạng trong những tuần gần đây. Khi phần mềm độc hại được cải tiến, có khả năng nó sẽ trở thành một vấn đề lớn hơn trong tương lai. Chúng tôi đã thấy một số điểm tương đồng trong quy ước đặt tên tệp, dường như chúng được liên kết với những thứ được sử dụng bởi nhóm tin tặc TA551, thường tấn công nạn nhân với mục đích đánh cắp tiền”.
Nhóm tin tặc này đang chiếm quyền điều khiển các chuỗi email để phát tán các trình tải phần mềm độc hại. Các chuyên gia an ninh mạng từ Intezer phát hiện nhóm này đang lạm dụng các lỗ hổng đã được phát hiện nhưng chưa được vá trong hệ thống máy chủ Microsoft Exchange để lấy cắp thông tin đăng nhập, sau đó trả lời các email của người dùng bằng những đường dẫn đến IcedID (một loại trojan đánh cắp tài khoản ngân hàng).
Nguồn: [Link nguồn]
Theo các nhà nghiên cứu bảo mật tại Zimperium, hiện có khoảng 10 phần mềm độc hại nhắm mục tiêu vào 639 ứng dụng trên Google Play.