ລະມັດລະວັງໃນເວລາເປີດ CV ໃບສະໝັກວຽກ 'Le Xuan Son'

ມີ​ການ​ໂຈມ​ຕີ​ທາງ​ອິນ​ເຕີ​ແນັດ​ໃໝ່​ທີ່​ແນ​ໃສ່​ບັນດາ​ວິ​ສາ​ຫະກິດ​ຢູ່​ຫວຽດນາມ. ພາບປະກອບ: Bloomberg.

ນັກຄົ້ນຄວ້າຄວາມປອດໄພຢູ່ SEQRITE Labs ໄດ້ຄົ້ນພົບແຄມເປນການໂຈມຕີທາງອິນເຕີເນັດທີ່ຊັບຊ້ອນ. ດ້ວຍ​ຂະ​ໜາດ​ນາມ​ວ່າ “ຂະ​ບວນ​ການ​ໂຈນ​ຮ່າ​ໂນ້ຍ”, ຂະ​ບວນ​ການ​ໄດ້​ແນ​ໃສ່​ບັນ​ດາ​ພະ​ແນກ IT ແລະ ອົງ​ການ​ຮັບ​ສະ​ໝັກ​ພະ​ນັກ​ງານ​ຢູ່​ຫວຽດ​ນາມ ດ້ວຍ​ການ​ປອມ​ຕົວ CV.

ຄົ້ນພົບຄັ້ງທໍາອິດໃນວັນທີ 3 ພະຈິກ, ແຮກເກີໃຊ້ເຕັກນິກການແຜ່ກະຈາຍ malware ໂດຍການປອມຕົວເປັນ CV ຄໍາຮ້ອງສະຫມັກວຽກ. ເປົ້າໝາຍຂອງຜູ້ໂຈມຕີແມ່ນເພື່ອແຊກຊຶມເຂົ້າເຄືອຂ່າຍພາຍໃນ, ຄອບຄອງລະບົບ ແລະລັກເອົາຂໍ້ມູນຂອງລູກຄ້າ ແລະ ຄວາມລັບທາງທຸລະກິດ.

malware ເຮັດວຽກແນວໃດ

ອີງ​ຕາມ​ຜູ້​ຊ່ຽວ​ຊານ​ດ້ານ​ຄວາມ​ປອດ​ໄພ, ຜູ້​ໂຈມ​ຕີ​ໄດ້​ສົ່ງ​ອີ​ເມລ​໌​ເປັນ​ຊຸດ​ຂອງ​ຄໍາ​ຮ້ອງ​ສະ​ຫມັກ​ວຽກ​ເຮັດ​ງານ​ທໍາ​, ຕິດ​ໄຟລ​໌ “Le Xuan Son CV.zip”. ເມື່ອ unzipped, ມັນມີສອງໄຟລ໌, ໄຟລ໌ຫນຶ່ງມີຊື່ວ່າ "CV.pdf.lnk", ໄຟລ໌ອື່ນມີຊື່ວ່າ "offsec-certified-professional.png".

ເນື່ອງຈາກວ່າມັນຖືກປອມເປັນໄອຄອນ PDF ແລະ PNG, ຜູ້ໃຊ້ອາດຈະເຮັດຜິດພາດນີ້ສໍາລັບໄຟລ໌ CV ປົກກະຕິ. ເມື່ອຄລິກ, ໄຟລ໌ຈະເປີດໃຊ້ໄວຣັສ LOTUSHARVEST, ເຊິ່ງຊ່ຽວຊານໃນການເກັບຂໍ້ມູນລະຫັດຜ່ານ, ປະຫວັດການເຂົ້າເຖິງ... ແລ້ວສົ່ງໄປທີ່ເຊີບເວີຂອງແຮກເກີ.

ອີງຕາມ GBHackers , CV ປອມຊື່ Le Xuan Son ຈາກ ຮ່າໂນ້ຍ ມີບັນຊີ GitHub ຕັ້ງແຕ່ປີ 2021. ແນວໃດກໍ່ຕາມ, ນັກຄົ້ນຄວ້າຄົ້ນພົບວ່າບັນຊີນີ້ບໍ່ໄດ້ລົງຂໍ້ມູນໃດໆ, ສ່ວນຫຼາຍອາດຈະເປັນພຽງແຕ່ຮັບໃຊ້ການໂຄສະນາການໂຈມຕີ.

ການ​ໂຈມ​ຕີ​ດຳ​ເນີນ​ໄປ​ໃນ​ສາມ​ຂັ້ນ. ຫຼັງຈາກເປີດໄຟລ໌ LNK, ມັນກະຕຸ້ນຄໍາສັ່ງພິເສດໂດຍຜ່ານເຄື່ອງມື ftp.exe ທີ່ສ້າງຂຶ້ນໃນ Windows. ນີ້ແມ່ນເຕັກນິກເກົ່າ ແລະບໍ່ແມ່ນເຕັກນິກທົ່ວໄປທີ່ອະນຸຍາດໃຫ້ malware ຜ່ານການຄວບຄຸມພື້ນຖານ.

ແຮກເກີຫຼອກລວງທຸລະກິດໂດຍການສົ່ງ CV ພາຍໃຕ້ຊື່ "Le Xuan Son". ຮູບພາບ: SEQRITE .

ໃນ​ໄລ​ຍະ 2​, ລະ​ບົບ​ຍັງ​ໄດ້ fooled ຄິດ​ວ່າ​ນີ້​ແມ່ນ PDF ຫຼື​ໄຟລ​໌​ຂໍ້​ຄວາມ​ທໍາ​ມະ​ດາ​. ຢ່າງໃດກໍຕາມ, ເມື່ອການວິເຄາະຕື່ມອີກ, ນັກຄົ້ນຄວ້າໄດ້ຄົ້ນພົບວ່າລະຫັດທີ່ເປັນອັນຕະລາຍໄດ້ຖືກເຊື່ອງໄວ້ກ່ອນທີ່ຈະເລີ່ມຕົ້ນຂອງໄຟລ໌ PDF.

malware ໄດ້ໄປເຮັດວຽກທັນທີ, ປ່ຽນຊື່ເຄື່ອງມື certutil.exe ທີ່ມີຢູ່ໃນ Windows ເພື່ອຫຼີກເວັ້ນການກວດພົບ, ແລະສະກັດຂໍ້ມູນທີ່ມີຊຸດໄຟລ໌ທີ່ເປັນອັນຕະລາຍສຸດທ້າຍ. ແຖວຄໍາສັ່ງສືບຕໍ່ປ່ຽນຊື່ໄຟລ໌ເປັນ "CV-Nguyen-Van-A.pdf" ເພື່ອຫຼອກລວງລະບົບ, ຫຼັງຈາກນັ້ນໄດ້ສະກັດແລະຖອດລະຫັດໄຟລ໌ທີ່ມີຊື່ວ່າ "MsCtfMonitor.dll", ວາງໄວ້ໃນໂຟນເດີ C:\ProgramData.

ໂດຍການຄັດລອກໄຟລ໌ ctfmon.exe ຈາກ System32 ໄປຍັງໂຟເດີດຽວກັນ, ຜູ້ໂຈມຕີໄດ້ຂູດຮີດເຕັກນິກການ hijacking DLL, ເຮັດໃຫ້ລະບົບແລ່ນໄຟລ໌ອັນຕະລາຍແທນທີ່ຈະເປັນໂຄງການປົກກະຕິ.

ສຸດທ້າຍ, malware LOTUSHARVEST ຖືກເປີດໃຊ້ເພື່ອລັກຂໍ້ມູນ. ຂໍ້ມູນນີ້ປະກອບມີຂໍ້ມູນການເຂົ້າສູ່ລະບົບໃນ Chrome ແລະ Edge browsers, ພ້ອມກັບ 20 URL ທີ່ເຂົ້າເບິ່ງຫຼ້າສຸດ, ລວມທັງ metadata ທີ່ກ່ຽວຂ້ອງ.

ຂໍ້ມູນທີ່ຖືກລັກຖືກສົ່ງຜ່ານ WinINet API ຂອງ Windows ໄປຫາໂຄງສ້າງພື້ນຖານຂອງແຮກເກີ. ຊອບແວຍັງເພີ່ມຊື່ຄອມພິວເຕີ ແລະຊື່ຜູ້ໃຊ້ເພື່ອສ້າງໂປຣໄຟລ໌ຕົວຕົນຢູ່ໃນເຊີບເວີ.

ບັນດາ​ວິ​ສາ​ຫະກິດ ຫວຽດນາມ ຕ້ອງ​ເພີ່ມ​ທະວີ​ການ​ປົກ​ປັກ​ຮັກສາ

ຈຸດທີ່ຫນ້າເປັນຫ່ວງໃນຂະບວນການໂຈມຕີແມ່ນວ່າ LOTUSHARVEST ມີຄວາມສາມາດໃນການຊ່ອນຕົວແລະປະຕິບັດການຂອງຕົນເອງ. malware ໃຊ້ປະໂຫຍດຈາກກົນໄກການໂຫຼດຫ້ອງສະໝຸດເພື່ອຮັກສາການຄວບຄຸມໄລຍະຍາວ ແລະເຂົ້າເຖິງບັນຊີ ແລະຂໍ້ມູນທີ່ລະອຽດອ່ອນ, ນອກເຫນືອຈາກການປົກປ້ອງມາດຕະການຄວາມປອດໄພແບບດັ້ງເດີມ.

ອີງຕາມການປະເມີນຜົນ, ຂໍ້ມູນທີ່ຖືກລັກສາມາດກາຍເປັນ "ກຸນແຈ" ສໍາລັບແຮກເກີເພື່ອຂະຫຍາຍການເຈາະຂອງພວກເຂົາ, ນໍາໃຊ້ເຄື່ອງມືອັນຕະລາຍແລະຫັນທຸລະກິດໄປສູ່ເປົ້າຫມາຍຂອງການໂຈມຕີຫຼາຍຊັ້ນຫຼື extortion ໃນຂັ້ນຕອນຕໍ່ໄປ.

“ທຸກ​ຂໍ້​ສະ​ແດງ​ໃຫ້​ເຫັນ​ວ່າ, ຂະ​ບວນ​ການ​ໂຈນ​ຮ່າ​ໂນ້ຍ​ໄດ້​ວາງ​ແຜນ​ໄວ້​ຢ່າງ​ລະ​ອຽດ, ມຸ່ງ​ໄປ​ເຖິງ​ບັນ​ດາ​ວິ​ສາ​ຫະ​ກິດ​ຫວຽດ​ນາມ​ໂດຍ​ກົງ.

ການໃຊ້ປະໂຫຍດຈາກພະແນກການຮັບສະໝັກ, ທີ່ຮັບໃບສະໝັກຈາກພາຍນອກເປັນປະຈຳ ແຕ່ບໍ່ມີຄວາມພ້ອມໃນດ້ານຄວາມປອດໄພທາງໄຊເບີ, ແຮກເກີໃຊ້ໄຟລ໌ປອມໃນຮູບແບບ CV ຫຼື ເອກະສານ ແລະ ສາມາດປ່ຽນເປັນຫຼາຍຮູບແບບຢ່າງຕໍ່ເນື່ອງ, ເຮັດໃຫ້ຄວາມສ່ຽງຕໍ່ການຕິດເຊື້ອທີ່ບໍ່ສາມາດຄາດເດົາໄດ້,” ທ່ານ ຫງວຽນດິ່ງທ້ວ, ຜູ້ຊ່ຽວຊານການວິເຄາະ Malware ຢູ່ Bkav ກ່າວ.

ສະຄຣິບສະກັດການເຂົ້າສູ່ລະບົບຂອງ malware ແລະປະຫວັດການເຂົ້າເຖິງ. ຮູບພາບ: SEQRITE .

ຕາມ Bkav ແລ້ວ, ມີ​ວິ​ສາ​ຫະ​ກິດ​ຫວຽດ​ນາມ ໄດ້​ກາຍ​ເປັນ​ຜູ້​ເຄາະ​ຮ້າຍ​ຈາກ​ຂະ​ບວນ​ການ​ບຸກ​ໂຈມ​ຕີ. ເນື່ອງຈາກລັກສະນະອັນຕະລາຍຂອງ LOTUSHARVEST ແລະຂະບວນການໂຈນຮ່າໂນ້ຍ, ຜູ້ໃຊ້ຈໍາເປັນຕ້ອງມີຄວາມລະມັດລະວັງທີ່ສຸດກັບເອກະສານທີ່ໄດ້ຮັບຜ່ານອີເມວ.

ວິສາຫະກິດ ແລະ ອົງການຈັດຕັ້ງຕ່າງໆ ຈໍາເປັນຕ້ອງໄດ້ດໍາເນີນການຝຶກອົບຮົມເປັນແຕ່ລະໄລຍະໃຫ້ແກ່ພະນັກງານ, ປູກຈິດສໍານຶກ ແລະ ລະມັດລະວັງຕໍ່ກັບການສໍ້ໂກງອອນໄລນ໌. ລະບົບຕິດຕາມກວດກາພາຍໃນຕ້ອງໄດ້ຮັບການສ້າງຄວາມເຂັ້ມແຂງ, ຕິດຕາມກວດກາຫ້ອງສະຫມຸດທີ່ຜິດປົກກະຕິຫຼືໄຟລ໌ທີ່ຫນ້າສົງໄສ.

ເຄື່ອງມືເລີ່ມຕົ້ນໃນລະບົບປະຕິບັດການພຽງແຕ່ຕອບສະຫນອງຄວາມຕ້ອງການປ້ອງກັນພື້ນຖານ, ບໍ່ພຽງພໍທີ່ຈະຕໍ່ສູ້ກັບ malware ແລະໄວຣັສທີ່ທັນສະໄຫມທີ່ສາມາດຊ່ອນ, ຄົງຢູ່ເປັນເວລາດົນນານແລະເຈາະເລິກເຂົ້າໄປໃນລະບົບ. ດັ່ງນັ້ນ, ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະຕິດຕັ້ງລະບົບການກວດສອບອີເມລ໌ແລະນໍາໃຊ້ຊອບແວຕ້ານເຊື້ອໄວຣັສທີ່ມີໃບອະນຸຍາດສໍາລັບການປ້ອງກັນທີ່ດີທີ່ສຸດ.

ທີ່ມາ: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html