CyRadar: Xuất hiện mã độc “núp bóng” văn bản mạo danh thông báo của SWIFT_lịch thi đấu của nhật bản

CEO Công ty CyRadar Nguyễn Minh Đức cho biết,ấthiệnmãđộcnúpbóngvănbảnmạodanhthôngbáocủlịch thi đấu của nhật bản tấn công APT tại Việt Nam đang ngày càng gia tăng về số lượng và mức độ tinh vi (Ảnh minh họa. Nguồn: Internet)

Chuyên gia Công ty CP An toàn thông tin CyRadar vừa cho biết, từ ngày 5/12, CyRadar đã ghi nhận được một chiến dịch APT nhắm vào các tổ chức ngân hàng trong và ngoài nước. Chiến dịch khởi đầu bằng một file văn bản .doc qua email, mạo danh thông báo của SWIFT - Hiệp hội Viễn thông Liên Ngân hàng và Tài chính quốc tế.

Mã độc núp bóng 1 file văn bản mạo danh Thông báo của Hiệp hội Viễn thông Liên Ngân hàng và Tài chính Quốc tế - SWIFT (Nguồn ảnh: CyRadar)

Theo phân tích của chuyên gia CyRadar, khi người dùng bị đánh lừa mở file và bật tính năng macro trong file văn bản thì mã độc hại được nhúng đã âm thầm tải xuống một backdoor và tự động thực thi chúng. Nó có nhiệm vụ kết nối và nhận dữ liệu đã mã hóa từ máy chủ điều khiển, sau khi nhận được dữ liệu nó tiến hành giải mã và load dữ liệu lên bộ nhớ cuối cùng thực thi các hành vi độc hại tương ứng.

Sơ đồ hành vi mã độc (Nguồn ảnh: CyRadar)

Tại thời điểm phân tích, mã độc thực hiện lấy dữ liệu đã mã hóa tại URL hxxps://remainsproperty[.]com/yadjuzaurhedyo, sau quá trình giải mã, phân tích nhận thấy đây là một file .DLL có hành vi kết nối, nhận dữ liệu từ máy chủ điều khiển rồi thực thi tùy ý mã độc hại khác từ máy chủ điều khiển đẩy xuống.

(责任编辑：Cúp C1)