Ảnh: BIGSTOCK
Kể từ đầu năm 2017, các nhà nghiên cứu bảo mật đã quan sát thấy một nhóm hacker có tên FIN7 lan truyền phần mềm độc hại bằng cách sử dụng các tệp tin LNK được nhúng trong các tài liệu văn bản thông qua kỹ thuật nhúng và liên kết đối tượng (OLE).
Sự lây lan phần mềm độc hại thường thực hiện qua backdoor tùy chỉnh của nhóm được gọi là HALFBAKED. Nhóm hiện đang bắt đầu dùng lệnh CMD để lây lan phần mềm độc hại với cấp độ cao hơn.
FIN7 đang tạo ra những thay đổi sâu
Khi được kích hoạt, tệp CMD sẽ chuyển JScript thành "tt.tx" trong thư mục chính của người dùng. Sau đó, tệp tự sao chép và chạy WScript bằng cách sử dụng công cụ JScript của tệp, rồi thực hiện việc thực thi mã hóa.
Phần mềm độc hại vì thế cũng trải qua một số thay đổi. Chúng sẽ được lưu trữ trong một chuỗi ký tự sử dụng mã hóa base64. Đây là một chương trình mã hóa chuỗi ký tự bằng cách dùng thay thế các ký tự trong bảng mã ASCII 8 bit thông dụng thành bảng mã 6 bit, thường được sử dụng để mã hóa các tập tin đa phương tiện (hình ảnh, âm thanh, video…).
Chuỗi mã hóa base64 sẽ phân mảnh phần mềm độc hại thành nhiều đơn vị nhỏ hơn và ngăn chặn các biện pháp bảo mật phòng thủ.
Báo cáo của ICEBRG cho biết: "FIN7 đã chứng minh rằng chúng có khả năng ứng biến cao, tránh được các cơ chế phát hiện và làm ảnh hưởng đến nhiều công ty bán lẻ lớn ở Mỹ trong một khoảng thời gian dài."
Người dùng doanh nghiệp là miếng mồi béo bở
FIN7 cũng bổ sung một lệnh mới, getNK2, vào kho "vũ khí" của phần mềm độc hại. Theo ICEBRG, lệnh này còn nhắm vào danh sách email Microsoft Outlook của nạn nhân và nỗ lực để mở rộng lượng mục tiêu mới cho hành vi lừa đảo.
Cũng giống như hầu hết các cuộc tấn công mạng khác, chỉ cần một người dùng là nạn nhân và người dùng đó làm việc tại một tổ chức thì mối đe dọa sẽ nhanh chóng lây lan trong toàn doanh nghiệp.
Sự thay đổi chiến thuật của nhóm hacker này đang đe doạ các chuyên gia công nghệ thông tin, buộc họ phải tìm ra các phương pháp mới để đối phó, xử lý mà vẫn giữ được sự cân bằng trong quá trình vận hành và bảo mật.
Tối đa: 1500 ký tự
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận