Tội phạm mạng đằng sau phần mềm độc hại BazaLoader đã đưa ra một chiêu dụ mới để lừa chủ sở hữu trang web mở các tệp độc hại: thông báo giả mạo về việc trang web đang tham gia vào các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.
Các tin nhắn chứa một mối đe dọa pháp lý và một tệp được lưu trữ trong thư mục Google Drive được cho là cung cấp bằng chứng về nguồn gốc của cuộc tấn công.
Xem thêm tại:
Xác định platform, framework và Tool
SMTP là gì - Hướng dẫn cơ bản cho người mới bắt đầu
Nâng cấp lên phiên bản React Native mới
Đe dọa pháp lý giả mạo
Chủ đề DDoS là gì, là một biến thể của một chiêu dụ khác, khiếu nại vi phạm Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số (DMCA là gì) liên kết đến một tệp được cho là chứa bằng chứng về việc ăn cắp hình ảnh.
Các bài báo hàng đầu
Microsoft Edge’s News Feed ads abused for tech
support scams
Trong các lần đệ trình được BleepingComputer nhìn thấy, kẻ đe dọa đã sử dụng URL Firebase để đẩy BazaLoader. Tuy nhiên, mục tiêu là giống nhau: sử dụng biểu mẫu liên hệ để phân phối phần mềm độc hại BazaLoader thường làm rơi Cobalt Strike, điều này có thể dẫn đến đánh cắp dữ liệu hoặc tấn công ransomware.
Microsoft đã cảnh báo về phương thức phân phối này vào tháng 4, khi tội phạm mạng sử dụng nó để phân phối phần mềm độc hại IcedID. Các chiến dịch gần đây cũng tương tự, chỉ có trọng tải và sự thu hút đã thay đổi.
Nhà phát triển và thiết kế trang web Brian Johnson đã đăng tải tuần trước về việc hai khách hàng của anh ấy nhận được thông báo pháp lý về việc trang web của họ bị tấn công để thực hiện các cuộc tấn công DDoS chống lại một công ty lớn (Intuit, Hubspot).
Người gửi đe dọa sẽ có hành động pháp lý trừ khi người nhận không “xóa ngay” trang web của họ về các tệp độc hại đã giúp triển khai cuộc tấn công DDoS.
“Tôi đã chia sẻ tệp nhật ký với các bằng chứng được ghi lại rằng cuộc tấn công đến từ [example.com] và cả hướng dẫn chi tiết về cách xử lý an toàn, tìm và xóa tất cả các tệp độc hại theo cách thủ công để loại bỏ mối đe dọa đối với mạng của chúng tôi , ”Đọc thông báo giả mạo.
Người gửi độc hại cũng bao gồm một liên kết đến một tệp được lưu trữ trong Google Drive tuyên bố cung cấp bằng chứng về cuộc tấn công DDoS và nguồn gốc của nó.
Xin chào,
Thư này được viết cho bạn để thông báo rằng chúng tôi hiện đang gặp sự cố mạng nghiêm trọng và chúng tôi đã phát hiện thấy một cuộc tấn công DDoS trên máy chủ của chúng tôi đến từ trang web của bạn hoặc trang web mà công ty của bạn lưu trữ (example.com). Hệ quả là chúng tôi đang bị thiệt hại về tài chính và danh tiếng.
Chúng tôi có bằng chứng và niềm tin chắc chắn rằng trang web của bạn đã bị tấn công và các tệp trang web của bạn đã bị sửa đổi, với sự trợ giúp của cuộc tấn công DDoS hiện đang diễn ra. Chúng tôi khuyên bạn với tư cách là chủ sở hữu trang web hoặc với tư cách là người có liên quan đến trang web này, hãy hành động ngay lập tức để khắc phục sự cố này.
Để khắc phục sự cố này, bạn nên ngay lập tức làm sạch trang web của mình khỏi các tệp độc hại được sử dụng để thực hiện cuộc tấn công DDoS.
Tôi đã chia sẻ tệp nhật ký với các bằng chứng được ghi lại rằng cuộc tấn công đến từ example.com và cũng có hướng dẫn chi tiết về cách xử lý an toàn, tìm và dọn dẹp tất cả các tệp độc hại theo cách thủ công để loại bỏ mối đe dọa đối với mạng của chúng tôi.
Nhấp vào liên kết bên dưới để tải xuống bằng chứng Tấn công DDos và làm theo hướng dẫn để khắc phục sự cố:
https://drive.google.com/uc?export=download&id=removed
Xin lưu ý rằng việc không tuân thủ các hướng dẫn ở trên hoặc / và nếu các cuộc tấn công DDoS liên quan đến example.com sẽ không dừng lại trong vòng 24 giờ tới khi nhận được thông báo này, chúng tôi sẽ có quyền tìm kiếm các hành động pháp lý để giải quyết vấn đề này.
Nếu bạn gặp bất kỳ khó khăn nào khi cố gắng giải quyết vấn đề, vui lòng trả lời ngay lập tức với số trường hợp tham chiếu cá nhân của bạn (có trong báo cáo nhật ký và hướng dẫn được đề cập ở trên) và tôi sẽ cố gắng hết sức để giúp bạn giải quyết vấn đề này càng sớm càng tốt.
Austin Nguyen
intuit.com IT security team
Nhà nghiên cứu bảo mật của Proofpoint, Matthew Mesa , lưu ý trong một tweet rằng những tin nhắn này được gửi qua biểu mẫu liên hệ của trang web và gửi phần mềm độc hại BazaLoader được lưu trữ trên trang web của Google.
Nhà nghiên cứu cũng nói rằng lure là một biến thể của chủ đề vi phạm bản quyền, cũng được gửi qua biểu mẫu liên hệ của trang web.
BleepingComputer đã nhận được một số thông báo vi phạm này trong vài tháng qua với cáo buộc sử dụng hình ảnh được bảo vệ mà không có sự đồng ý của chủ sở hữu.
Thông báo cung cấp một liên kết đến một tệp được cho là liệt kê các hình ảnh được sử dụng mà không được phép. Dữ liệu được lưu trữ trong bộ nhớ đám mây Firebase của Google.
Để làm cho vấn đề có vẻ khẩn cấp, người gửi cũng nói rằng chủ sở hữu trang web “có thể phải chịu trách nhiệm về thiệt hại theo luật định lên tới 120.000 đô la.” Tuy nhiên, tất cả chỉ là một mưu mẹo để cung cấp phần mềm độc hại.
Tên tôi là Marquel.
Trang web của bạn hoặc trang web mà tổ chức của bạn lưu trữ đang vi phạm hình ảnh được bảo vệ bản quyền do chính tôi sở hữu.
Kiểm tra tài liệu này với các URL của hình ảnh của tôi mà bạn đã sử dụng tại www.bleepingcomputer.com và ấn phẩm trước đó của tôi để lấy bằng chứng về bản quyền của tôi.
Tải xuống ngay bây giờ và tự mình kiểm tra điều này:
https://firebasestorage.googleapis.com/v0/b/files-d6e6c.appspot.com/o/download-dlm39vbk30.html?alt=media&token=d0b122e7-49bb-4c04-9b26-d2364ca615f2&ID=381406677867196640
Tôi nghĩ rằng bạn đã cố tình vi phạm các quyền hợp pháp của tôi theo 17 USC Sec. 101 và tiếp theo. và có thể phải chịu trách nhiệm pháp lý đối với thiệt hại theo luật định lên tới 120.000 đô la như được quy định trong Mục 504 (c) (2) của Đạo luật bản quyền thiên niên kỷ kỹ thuật số (“DMCA”) trong đó.
Thông báo này là thông báo chính thức. Tôi yêu cầu loại bỏ các tài liệu vi phạm được đề cập ở trên. Hãy lưu ý với tư cách là nhà cung cấp dịch vụ, Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số yêu cầu bạn xóa và vô hiệu hóa quyền truy cập vào các tài liệu vi phạm khi nhận được bức thư cụ thể này. Trong trường hợp bạn không ngừng sử dụng các tài liệu có bản quyền đã đề cập trước đó, bạn sẽ có thể bắt đầu hành động pháp lý.
Tôi thực sự tin tưởng rằng việc sử dụng các tài liệu có bản quyền được đề cập ở trên bị cáo buộc là vi phạm không được chủ sở hữu bản quyền, đại diện của chủ sở hữu bản quyền hoặc luật pháp cho phép.
Tôi xin thề, theo hình phạt nếu khai man, rằng thông tin trong tin nhắn này là chính xác và tôi là chủ sở hữu bản quyền hợp pháp hoặc được chứng nhận để hành động thay mặt cho chủ sở hữu độc quyền bị cáo buộc là vi phạm.
Trân trọng,
Marquel Lowe
17/08/2021
Nhà phân tích phần mềm độc hại Brad Duncan đã kiểm tra tệp và nhận thấy đây là tệp lưu trữ ZIP với JavaScript tìm nạp DLL của BazaLoader, một cửa hậu được quy cho băng nhóm TrickBot thường dẫn đến lây nhiễm ransomware.
Sau đó, phần mềm độc hại này truy cập vào máy chủ chỉ huy và kiểm soát (C2) của nó và nhận được Cobalt Strike, một công cụ kiểm tra sự thâm nhập bị tội phạm mạng lạm dụng rộng rãi để duy trì sự bền bỉ và cung cấp các tải trọng khác.
nguồn: Brad Duncan
Như đã thấy từ các mẫu ở trên, các thông báo khá thuyết phục và tận dụng được tính hợp pháp của các email biểu mẫu liên hệ, làm tăng cơ hội nhận được dấu "an toàn" từ các giải pháp bảo mật email.
Tìm kiếm các dấu hiệu của mục đích xấu (thông tin liên hệ không đầy đủ, ngữ pháp không chính xác, liên kết đáng ngờ) là một cách tốt để tránh rơi vào bẫy kỹ thuật xã hội này.
0 Nhận xét