Chiến dịch lừa đảo mới sử dụng tài liệu Word giả, phát tán phần mềm Backdoor viết bằng nim

Theo nhà nghiên cứu Ghanashyam Satpathy và Jan Michael Alcantara của Netskope, chuỗi tấn công bắt đầu từ một email lừa đảo có tệp đính kèm tài liệu Word. Khi mở tài liệu, người nhận sẽ được thúc đẩy kích hoạt macro, từ đó phát tán phần mềm độc hại. Người gửi email giả mạo là tổ chức chính phủ Nepal để tạo ra sự tin cậy.

Sau khi được khởi chạy, backdoor sẽ liệt kê các tiến trình đang chạy để ngăn chặn các công cụ phân tích bảo mật và kết thúc chúng ngay lập tức. Đồng thời, backdoor sẽ thiết lập kết nối đến một máy chủ từ xa giả mạo tên miền của chính phủ Nepal, đợi lệnh từ máy chủ điều khiển tấn công (C2).

Các địa chỉ máy chủ C2 bao gồm:

• mail[.]mofa[.]govnp[.]org
• nitc[.]govnp[.]org
• mx1[.]nepal[.]govnp[.]org
• dns[.]govnp[.]org

Ngôn ngữ lập trình Nim, theo nhận định của nhà nghiên cứu, là một ngôn ngữ biên dịch kiểu tĩnh, có tính năng cross-compilation, giúp kẻ tấn công tạo biến thể phần mềm độc hại để nhắm mục tiêu vào nhiều nền tảng khác nhau.

Thông báo này diễn ra đồng thời với cảnh báo của Cyble về chiến dịch social engineering sử dụng tin nhắn trên mạng xã hội để phát tán phần mềm độc hại Python mới, Editbot Stealer, được thiết kế để đánh cắp thông tin qua kênh Telegram.

Để giảm thiểu rủi ro, người dùng cần cẩn trọng khi nhận email từ nguồn lạ, kiểm tra thông tin cẩn thận, và nếu có bất kỳ điều nào đáng ngờ, nên xóa hoặc bỏ qua email. Trong trường hợp nhận tài liệu đính kèm yêu cầu kích hoạt macro, người dùng nên tập trung vào an toàn và không kích hoạt nếu không rõ ràng về hậu quả. Việc này sẽ giúp ngăn chặn sự lan truyền của phần mềm độc hại và bảo vệ máy tính của bạn khỏi rủi ro tấn công.