Các nhà nghiên cứu của Cisco đã phát hiện ra rằng một loạt các cuộc tấn công mạng đã lan rộng khắp châu Âu kể từ tháng 7 năm 2024. Các cuộc tấn công này dựa trên một phần mềm độc hại mới, được các chuyên gia coi là "tinh vi", Tornet. Virus này được sử dụng như một cửa hậu để xâm nhập vào hệ thống máy tính của nhiều công ty châu Âu.
Để phát tán phần mềm độc hại trên hệ thống mục tiêu, tin tặc sử dụng các cuộc tấn công lừa đảo. Được thiết kế để bẫy nhân viên, các email lừa đảo giả vờ đến từ các tổ chức tài chính và công nghiệp. Như thường lệ, trộm cắp danh tính cho phép tội phạm mạng khiến nạn nhân mất lòng tin. Cơ chế này cũng được tìm thấy trong hầu hết các cuộc tấn công lừa đảo.
Trong trường hợp này, các email tự trình bày dưới dạng "xác nhận chuyển tiền giả và biên lai đơn hàng giả". Điều này rất lý tưởng để thúc đẩy mục tiêu phản hồi gấp mà không cần hỏi quá nhiều câu hỏi. Những tài liệu giả mạo này được gửi dưới dạng tệp đính kèm, nén bằng GZIP. Nén cho phép tin tặc trốn tránh phần mềm diệt vi-rút.
Thông qua email, tin tặc lừa mục tiêu cài đặt phần mềm độc hại Tornet trên máy tính của công ty. Khi đã xâm nhập vào hệ thống, Tornet sẽ tải xuống và cài đặt phần mềm độc hại khác, chẳng hạn như Agent Tesla, một loại Trojan cung cấp quyền truy cập từ xa hoàn toàn cho tin tặc. Trong quá trình này, tin tặc đã triển khai Snake Keylogger, một chương trình đánh cắp dữ liệu nhạy cảm được thiết kế để đánh cắp thông tin nhận dạng và thông tin ngân hàng.
Để tránh bị phát hiện, kẻ tấn công tạm thời vô hiệu hóa kết nối của máy tính trước khi chèn cửa hậu. Sau đó, anh ấy kết nối lại máy. Quá trình này cho phép nó vượt qua các cơ chế bảo mật trên đám mây của công ty. Cuối cùng, tin tặc sử dụng cửa sau để ẩn mọi thông tin liên lạc với máy chủ từ xa.
Tội phạm mạng, với động cơ là lợi nhuận, hiện đang nhắm mục tiêu vào các công ty có trụ sở tại Đức và Ba Lan nói riêng. Tin tặc chủ yếu nhắm đến "các công ty công nghiệp, nhà cung cấp dịch vụ hậu cần và các tổ chức tài chính".
Như báo cáo của Cisco giải thích, có khả năng Pháp nằm trong tầm ngắm của tội phạm mạng đằng sau các cuộc tấn công này. Theo các nhà nghiên cứu, đây là "mối đe dọa lớn có thể ảnh hưởng đến nước Pháp". Trên thực tế, Pháp "đặc biệt dễ bị tổn thương" trước làn sóng tấn công mạng này.
Mối đe dọa mới này đang nổi lên từ trong bóng tối khi Pháp trở thành một trong những mục tiêu ưa thích của tội phạm mạng. Vô số vụ rò rỉ dữ liệu trong những năm gần đây đã góp phần đưa các công ty và cá nhân của Pháp vào tầm ngắm của tin tặc.
Trong hầu hết các trường hợp, các cuộc tấn công đều dựa trên dữ liệu bị xâm phạm ở thượng nguồn. Nhờ dữ liệu này, được chia sẻ rộng rãi trên thị trường chợ đen, mà tin tặc có thể định hình các cuộc tấn công mạng. Điều này đặc biệt đúng với các cuộc tấn công lừa đảo, hiệu quả của chúng phụ thuộc vào lượng thông tin trong tay kẻ gian.
Lừa đảo và đánh cắp dữ liệu ngân hàng
Để phát tán phần mềm độc hại trên hệ thống mục tiêu, tin tặc sử dụng các cuộc tấn công lừa đảo. Được thiết kế để bẫy nhân viên, các email lừa đảo giả vờ đến từ các tổ chức tài chính và công nghiệp. Như thường lệ, trộm cắp danh tính cho phép tội phạm mạng khiến nạn nhân mất lòng tin. Cơ chế này cũng được tìm thấy trong hầu hết các cuộc tấn công lừa đảo.
Trong trường hợp này, các email tự trình bày dưới dạng "xác nhận chuyển tiền giả và biên lai đơn hàng giả". Điều này rất lý tưởng để thúc đẩy mục tiêu phản hồi gấp mà không cần hỏi quá nhiều câu hỏi. Những tài liệu giả mạo này được gửi dưới dạng tệp đính kèm, nén bằng GZIP. Nén cho phép tin tặc trốn tránh phần mềm diệt vi-rút.
Thông qua email, tin tặc lừa mục tiêu cài đặt phần mềm độc hại Tornet trên máy tính của công ty. Khi đã xâm nhập vào hệ thống, Tornet sẽ tải xuống và cài đặt phần mềm độc hại khác, chẳng hạn như Agent Tesla, một loại Trojan cung cấp quyền truy cập từ xa hoàn toàn cho tin tặc. Trong quá trình này, tin tặc đã triển khai Snake Keylogger, một chương trình đánh cắp dữ liệu nhạy cảm được thiết kế để đánh cắp thông tin nhận dạng và thông tin ngân hàng.
Để tránh bị phát hiện, kẻ tấn công tạm thời vô hiệu hóa kết nối của máy tính trước khi chèn cửa hậu. Sau đó, anh ấy kết nối lại máy. Quá trình này cho phép nó vượt qua các cơ chế bảo mật trên đám mây của công ty. Cuối cùng, tin tặc sử dụng cửa sau để ẩn mọi thông tin liên lạc với máy chủ từ xa.
Tội phạm mạng, với động cơ là lợi nhuận, hiện đang nhắm mục tiêu vào các công ty có trụ sở tại Đức và Ba Lan nói riêng. Tin tặc chủ yếu nhắm đến "các công ty công nghiệp, nhà cung cấp dịch vụ hậu cần và các tổ chức tài chính".
Pháp nằm trong tầm ngắm của tin tặc?
Như báo cáo của Cisco giải thích, có khả năng Pháp nằm trong tầm ngắm của tội phạm mạng đằng sau các cuộc tấn công này. Theo các nhà nghiên cứu, đây là "mối đe dọa lớn có thể ảnh hưởng đến nước Pháp". Trên thực tế, Pháp "đặc biệt dễ bị tổn thương" trước làn sóng tấn công mạng này.
Mối đe dọa mới này đang nổi lên từ trong bóng tối khi Pháp trở thành một trong những mục tiêu ưa thích của tội phạm mạng. Vô số vụ rò rỉ dữ liệu trong những năm gần đây đã góp phần đưa các công ty và cá nhân của Pháp vào tầm ngắm của tin tặc.
Trong hầu hết các trường hợp, các cuộc tấn công đều dựa trên dữ liệu bị xâm phạm ở thượng nguồn. Nhờ dữ liệu này, được chia sẻ rộng rãi trên thị trường chợ đen, mà tin tặc có thể định hình các cuộc tấn công mạng. Điều này đặc biệt đúng với các cuộc tấn công lừa đảo, hiệu quả của chúng phụ thuộc vào lượng thông tin trong tay kẻ gian.
