Các nhà nghiên cứu tại Morphisec Threat Labs đã phát hiện ra một loại virus mới đang tấn công các tổ chức trên khắp thế giới. Phần mềm độc hại Baptized ResolverRAT là một con ngựa thành Troy có khả năng truy cập từ xa. Được ngụy trang dưới dạng một chương trình vô hại, phần mềm độc hại này cho phép tin tặc kiểm soát từ xa máy tính bị nhiễm.
Email có cài bẫy chứa tệp thực thi cho phần mềm HP (Hewlett-Packard). Tệp này sẽ cấy ResolverRAT vào bộ nhớ của máy tính. Một khi đã xâm nhập vào hệ thống, virus sẽ sử dụng một loạt các chiến thuật để không bị phát hiện. Ví dụ, nó sao chép các tập tin của riêng nó vào một số thư mục mà Windows sử dụng để tự động khởi chạy chương trình khi khởi động hoặc để lưu trữ các ứng dụng, chẳng hạn như các thư mục "Startup", "Program Files" và "Windows". hoặc "LocalAppData".
Quan trọng nhất là nó sẽ lọc sạch toàn bộ dữ liệu được lưu trữ trên máy tính. Để đảm bảo tính kín đáo, ResolverRAT sẽ chia các tệp lớn hơn 1MB thành các phần nhỏ hơn 16KB để không bị phát hiện và hòa lẫn vào lưu lượng truy cập internet thông thường của máy tính bị nhiễm. Trên thực tế, nó có thể truyền dữ liệu đến các máy chủ ở xa mà không bị phát hiện.
Các chuyên gia tại Morphisec Threat Labs chỉ nêu rõ rằng email lừa đảo ban đầu được từ chối bằng một số ngôn ngữ, bao gồm tiếng Ý, tiếng Séc, tiếng Hindi, tiếng Thổ Nhĩ Kỳ và tiếng Bồ Đào Nha. Đây là lý do tại sao các nhà nghiên cứu nói về phạm vi toàn cầu của "hoạt động một lần". Tội phạm mạng có thể đang tìm cách "tối đa hóa tỷ lệ lây nhiễm thông qua" nhắm mục tiêu thích ứng". Báo cáo cho biết làn sóng tấn công gần đây nhất được ghi nhận vào ngày 10 tháng 3 năm 2025. Người ta không biết những tin tặc này là ai. nguồn gốc của cuộc tấn công mạng.
Nguồn: Morphisec
Lừa đảo và đánh cắp dữ liệu trên quy mô lớn
Trong hầu hết các cuộc tấn công được Morphisec Threat Labs ghi nhận, vi-rút lây lan thông qua email lừa đảo. Nhân viên của các công ty mục tiêu sẽ nhận được email cáo buộc vi phạm pháp luật hoặc bản quyền. Những họa tiết này có thể khơi dậy sự tò mò và xua tan sự nghi ngờ của họ. Các "chủ đề đáng báo động" được sử dụng được hiệu chỉnh cụ thể để kích động phản ứng từ nhân viên trong các ngành công nghiệp mục tiêu. Các nhà nghiên cứu đã phát hiện ra một số điểm tương đồng với các chiến dịch lừa đảo phát tán phần mềm độc hại như Rhadamanthys và Lumma.Email có cài bẫy chứa tệp thực thi cho phần mềm HP (Hewlett-Packard). Tệp này sẽ cấy ResolverRAT vào bộ nhớ của máy tính. Một khi đã xâm nhập vào hệ thống, virus sẽ sử dụng một loạt các chiến thuật để không bị phát hiện. Ví dụ, nó sao chép các tập tin của riêng nó vào một số thư mục mà Windows sử dụng để tự động khởi chạy chương trình khi khởi động hoặc để lưu trữ các ứng dụng, chẳng hạn như các thư mục "Startup", "Program Files" và "Windows". hoặc "LocalAppData".
Quan trọng nhất là nó sẽ lọc sạch toàn bộ dữ liệu được lưu trữ trên máy tính. Để đảm bảo tính kín đáo, ResolverRAT sẽ chia các tệp lớn hơn 1MB thành các phần nhỏ hơn 16KB để không bị phát hiện và hòa lẫn vào lưu lượng truy cập internet thông thường của máy tính bị nhiễm. Trên thực tế, nó có thể truyền dữ liệu đến các máy chủ ở xa mà không bị phát hiện.
Một "hoạt động có phạm vi toàn cầu"
ResolverRAT chủ yếu nhắm vào các tổ chức trong lĩnh vực chăm sóc sức khỏe và dược phẩm. Các nhà nghiên cứu không tiết lộ công khai tên của các nạn nhân phần mềm độc hại. Ngày càng có nhiều tin tặc nhắm vào lĩnh vực chăm sóc sức khỏe, nhắm vào các bệnh viện và phòng khám với hy vọng thu thập dữ liệu y tế nhạy cảm. Những thực thể này có nhiều khả năng sẽ trả tiền chuộc để ngăn chặn thông tin bị rò rỉ lên dark web.Các chuyên gia tại Morphisec Threat Labs chỉ nêu rõ rằng email lừa đảo ban đầu được từ chối bằng một số ngôn ngữ, bao gồm tiếng Ý, tiếng Séc, tiếng Hindi, tiếng Thổ Nhĩ Kỳ và tiếng Bồ Đào Nha. Đây là lý do tại sao các nhà nghiên cứu nói về phạm vi toàn cầu của "hoạt động một lần". Tội phạm mạng có thể đang tìm cách "tối đa hóa tỷ lệ lây nhiễm thông qua" nhắm mục tiêu thích ứng". Báo cáo cho biết làn sóng tấn công gần đây nhất được ghi nhận vào ngày 10 tháng 3 năm 2025. Người ta không biết những tin tặc này là ai. nguồn gốc của cuộc tấn công mạng.
Nguồn: Morphisec
