SO HUU TRI TUE
Thứ ba, 21/05/2024
  • Click để copy

Cảnh báo: Chiến dịch Raspberry Robin mới lây nhiễm qua các tệp WSF

16:45, 11/04/2024
(SHTT) - Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch Raspberry Robin mới, phát tán phần mềm độc hại thông qua các tệp Windows Script (WSF) độc hại kể từ tháng 3/2024.

Patrick Schläpfer, nhà nghiên cứu bảo mật của HP Wolf Security cho biết: “Trong lịch sử, Raspberry Robin được lây nhiễm qua các phương tiện di động như ổ USB, nhưng theo thời gian, tội phạm mạng đã thử nghiệm các phương tiện lây nhiễm khác”.

Raspberry Robin, còn được gọi là sâu QNAP, được phát hiện lần đầu tiên vào tháng 9/2021. Trong những năm gần đây, QNAP đã phát triển thành trình tải xuống cho nhiều payload (tải trọng) khác như SocGholish, Cobalt Strike, IcedID, BumbleBee và TrueBot, đồng thời nó là tiền thân của phần mềm tống tiền.

a2(1)

 

Mặc dù ban đầu, phần mềm độc hại được phát tán qua các thiết bị USB chứa tệp LNK lấy payload từ thiết bị QNAP bị xâm nhập, nhưng sau đó nó đã áp dụng các phương pháp khác như kỹ thuật xã hội và quảng cáo độc hại. QNAP được cho là do một nhóm mối đe dọa mới nổi có tên là Storm-0856, có liên kết với hệ sinh thái tội phạm mạng rộng lớn hơn, bao gồm cả các nhóm như Evil Corp, Silence và TA505.

Xu hướng phát tán mới nhất sử dụng các tệp tin WSF được cung cấp để tải xuống qua nhiều tên miền và tên miền phụ (subdomain) khác nhau. Hiện tại vẫn chưa rõ những kẻ tấn công điều hướng nạn nhân đến các URL này bằng cách nào, mặc dù được cho là có thể thông qua các chiến dịch spam hoặc quảng cáo độc hại.

Tệp tin WSF bị xáo trộn có chức năng như một trình tải xuống để truy xuất payload DLL chính từ máy chủ từ xa bằng cách sử dụng lệnh curl command. Nó sẽ không thực thi nếu phiên bản của hệ điều hành Windows thấp hơn 17063 (được phát hành vào tháng 12 năm 2017) và các quy trình đang chạy có các quy trình chống vi-rút được liên kết với Avast, Avira, Bitdefender, Check Point, ESET và Kaspersky.

HP cho biết: “Bản thân các tập lệnh hiện không được trình quét vi-rút VirusTotal xếp vào là độc hại. Điều này chứng tỏ khả năng lẩn tránh và nguy cơ lây nhiễm nghiêm trọng của phần mềm độc hại Raspberry Robin. Trình tải xuống WSF bị xáo trộn nghiêm trọng và sử dụng nhiều kỹ thuật phân tích cho phép phần mềm độc hại trốn tránh sự phát hiện và làm chậm quá trình phân tích”./.

TH

Tin khác

Tin tức 10 phút trước
(SHTT) - Dự kiến, 10 tỷ đồng được trích từ ngân sách Thành phố sẽ được sử dụng để phục vụ cung cấp miễn phí yêu cầu cấp Phiếu lý lịch tư pháp qua ứng dụng VneID từ nay đến hết năm 2024.
Tin tức 15 giờ trước
(SHTT) - Chiều 20/5/2024, trong khuôn khổ Kỳ họp thứ 7, Quốc hội khóa XV, ông Trần Thanh Mẫn đã được Quốc hội bầu làm Chủ tịch Quốc hội với tỷ lệ đại biểu tán thành đạt 100%.
Tin tức 15 giờ trước
(SHTT) - Chiều 20/5, tại Kỳ họp thứ 7, Quốc hội đã bỏ phiếu kín và biểu quyết thông qua Nghị quyết bầu ông Trần Thanh Mẫn giữ chức Chủ tịch Quốc hội, nhiệm kỳ 2021-2026, tỷ lệ tán thành 97,54%. Ngay sau khi Quốc hội thông qua Nghị quyết, ông Trần Thanh Mẫn bước lên bục thực hiện nghi lễ tuyên thệ nhậm chức.
Tin tức 16 giờ trước
(SHTT) - Bảo hiểm xã hội Việt Nam mới đây đã phát đi thông tin cảnh báo về tình trạng xuất hiện một số đối tượng giả danh là cán bộ của đơn vị gọi điện, nhắn tin cho người tham gia BHXH, BHYT, BHTN yêu cầu đồng bộ dữ liệu CCCD, cập nhật thông tin trên ứng dụng VssID - BHXH số.
Tin tức 17 giờ trước
(SHTT) - Trước thực trạng xuất hiện các tổ chức, cá nhân, doanh nghiệp lợi dụng quảng cáo, hội nghị, hội thảo để lừa bán các sản phẩm không rõ nguồn gốc, không đảm bảo chất lượng, UBND tỉnh Thanh Hóa đã ra văn bản chấn chỉnh.