Các chuyên gia bảo mật từ công ty chống vi-rút Eset đã cảnh báo về các hóa đơn giả đang lan truyền như tuyết lở trên Internet Séc trong những tuần gần đây. Đồng thời, mục tiêu không phải là kiếm tiền từ những người đáng tin cậy, phần mềm gián điệp nguy hiểm được phát tán qua các tệp đính kèm trong các e-mail không được yêu cầu.
Virus phần mềm gián điệp từ lâu đã lây lan qua các tệp đính kèm e-mail nguy hiểm. Ngay cả khi người gửi giả vờ rằng có hóa đơn hoặc chứng từ thanh toán được đính kèm, thì trên thực tế, có một tệp thực thi có phần mở rộng .exe. Khi mở nó, những người dùng không cẩn thận sẽ vô tình cài đặt mã độc khi khởi động.
Mã độc lan truyền nhiều nhất trong tháng qua là Agent Tesla. "Cuộc tấn công phần mềm gián điệp Agent Tesla lớn nhất diễn ra tại Séc vào ngày 3 tháng 10. Những kẻ tấn công sử dụng mã độc này trong các chiến dịch tấn công của chúng nhằm vào mật khẩu của người dùng. Mật khẩu được lưu trữ trong các trình duyệt Internet rất dễ bị tấn công và dễ dàng truy cập,“ Martin Jirkal, trưởng nhóm phân tích tại chi nhánh Eset ở Praha, cho biết.
Vào tháng 10, người dùng có thể bắt gặp phần mềm gián điệp Agent Tesla chủ yếu trong e-mail có tệp đính kèm có tên Zpusob_platby, jpg.exe bằng tiếng Séc.
"Số lượng phát hiện phần mềm gián điệp Agent Tesla vẫn ổn định trong tháng tới, chiếm khoảng 1/5 tổng số trường hợp được phát hiện cho nền tảng Windows ở Séc. Với các cuộc tấn công vào tháng 10, lần này chúng ta có thể quan sát thấy một chiến lược trong đó những kẻ tấn công tập trung vào các quốc gia ở trung và đông nam châu Âu cũng như Thổ Nhĩ Kỳ. Séc là quốc gia bị ảnh hưởng nặng nề thứ tư trong tháng 10," Jirkal nói.
Khoảng 1/10 mã độc bị chặn là phần mềm đánh cắp mật khẩu Fareit và phần mềm gián điệp Formbook, cả hai mối đe dọa đều phổ biến trong thống kê vi rút và có tỷ lệ rất giống nhau. "Chúng tôi đã ghi lại hoạt động lớn nhất với kẻ đánh cắp mật khẩu Fareit vào ngày 11-12 tháng 10. Lần này, những kẻ tấn công không bản địa hóa các cuộc tấn công của chúng sang tiếng Séc, chúng tôi thường bắt gặp một tệp đính kèm bị nhiễm có tên là Enquiry&Specification.exe," chuyên gia bảo mật cho biết.
Liên kết các cuộc tấn công
Spyware Formbook được phát tán chủ yếu trong các chiến dịch ngày 3 tháng 10 và ngày 11 tháng 10. Trên hết, đối với làn sóng thứ hai, các chuyên gia bảo mật chỉ ra mối liên hệ giữa các cuộc tấn công và Fareit.
“Không có gì lạ khi kẻ tấn công hoặc nhóm kẻ tấn công mua nhiều loại phần mềm độc hại khác nhau trên thị trường chợ đen và sau đó sử dụng chúng đồng thời trong các cuộc tấn công của chúng. Trong trường hợp phần mềm gián điệp Formbook, chúng tôi thường bắt gặp các tệp đính kèm có tên DHL Notification_pdf.exe hoặc Potvrzení_platby,png.scr. Tệp đính kèm thứ hai có điểm tương đồng rất ấn tượng với tệp đính kèm xuất hiện trong các cuộc tấn công phần mềm gián điệp Đặc vụ Tesla. Do đó, chúng tôi có thể kết luận rằng cùng một nhà phân phối phần mềm độc hại thực sự có thể đứng đằng sau các cuộc tấn công," Jirkal tóm tắt.
MP (tổng hợp)
|