Theo TechRadar, các nhà nghiên cứu an ninh mạng tại Zscaler ThreatLabs vừa phát hiện một chiến dịch lừa đảo nhắm vào lỗ hổng bảo mật trên các phiên bản Office cũ, các tin tặc đang lợi dụng lỗ hổng để cài đặt phần mềm đánh cắp thông tin nguy hiểm mang tên Agent Tesla.
Chiến dịch này sử dụng một tài liệu Excel chứa mã độc. Nếu nạn nhân sử dụng phiên bản Excel cũ, tài liệu sẽ lợi dụng lỗ hổng CVE-2017-11882 trong trình soạn công thức toán học Equation Editor để thực thi tự động các mã độc.
Quá trình lây nhiễm diễn ra theo nhiều bước. Đầu tiên, một mã VBS được che giấu sẽ tải xuống một tệp JPG độc hại có chứa tệp DLL được mã hóa Base64. Tệp này sau đó được đưa vào công cụ Windows Assembly Registration Tool (RegAsm.exe) và kích hoạt phần mềm độc hại Agent Tesla.
TheHackerNews mô tả Agent Tesla là một "keylogger cao cấp và Trojan truy cập từ xa (RAT)" có khả năng thu thập thông tin nhạy cảm như tên đăng nhập, mật khẩu, nội dung bàn phím và chụp ảnh màn hình. Sau khi thu thập đủ thông tin, Agent Tesla sẽ liên lạc với máy chủ điều khiển và gửi dữ liệu về mà người dùng không hề hay biết.
Cả phần mềm ăn cắp thông tin Agent Tesla và lỗ hổng CVE-2017-11882 trên Excel đều rất phổ biến. Theo báo cáo của Cofense vào cuối tháng 10, Agent Tesla là keylogger được sử dụng nhiều nhất trong các cuộc tấn công lừa đảo trong quý 3. Thêm vào đó, lỗ hổng CVE-2017-11882 cũng là phương thức phổ biến nhất để cài đặt những phần mềm độc hại này.
CÙNG CHUYÊN MỤC
