Theo BleepingComputer, để phục vụ mục đích này, các tin tặc đã gửi email giả mạo từ tên miền hợp pháp eset.co.il, trong đó chứa phần mềm độc hại được ngụy trang thành phần mềm diệt virus với mục đích xóa dữ liệu trên máy tính của nạn nhân.
Phần mềm độc hại này có khả năng xóa toàn bộ tệp tin trên máy tính và làm hỏng bảng phân vùng, khiến việc khôi phục dữ liệu trở nên khó khăn hơn. Chiến dịch lừa đảo bắt đầu từ ngày 8.10, với các email mang logo của ESET được gửi đến mục tiêu với cảnh báo rằng thiết bị của người nhận đang bị nhắm mục tiêu bởi các kẻ tấn công được chính phủ hậu thuẫn.
Nội dung được những kẻ lừa đảo gửi đi từ email bị xâm phạm
ẢNH: BLEEPINGCOMPUTER
Cách thức phát tán phần mềm độc hại
Báo cáo cho biết, các email này giả danh đến từ tài khoản có tên "ESET's Advanced Threat Defense Team" với khuyến nghị người dùng cài đặt công cụ diệt virus tiên tiến mang tên "ESET Unleashed" để bảo vệ thiết bị của họ. Nội dung email đề cập "thiết bị của người dùng đã được xác định nằm trong danh sách các thiết bị đang bị một tác nhân đe dọa do nhà nước hậu thuẫn nhắm tới".
Mặc dù tên miền eset.co.il có thương hiệu và logo của ESET, nhưng ESET xác nhận rằng tên miền này được điều hành bởi Comsecure - nhà phân phối của họ tại Israel. Các email lừa đảo đã vượt qua các bài kiểm tra xác thực SPF, DKIM và DMARC, cho thấy máy chủ email của chi nhánh Israel đã bị xâm phạm.
Liên kết tải xuống phần mềm độc hại được lưu trữ trên tên miền eset.co.il nhưng hiện đã bị vô hiệu hóa. Tệp ZIP chứa 4 tệp DLL hợp lệ của phần mềm diệt virus ESET và 1 tệp Setup.exe độc hại. Chuyên gia an ninh mạng Kevin Beaumont đã xác nhận tệp Setup.exe là phần mềm độc hại, sử dụng nhiều kỹ thuật để tránh bị phát hiện.
Tệp Setup.exe được xác định là phần mềm độc hại
ẢNH: BLEEPINGCOMPUTER
Hiện tại, vẫn chưa rõ có bao nhiêu công ty đã bị nhắm mục tiêu trong chiến dịch lừa đảo cũng như cách thức mà Comsecure bị xâm phạm. Comsecure vẫn chưa đưa ra phản hồi về báo cáo.
Hiện chưa có nhóm tin tặc nào nhận trách nhiệm cho cuộc tấn công nhưng việc xóa dữ liệu đã trở thành một công cụ phổ biến trong các cuộc tấn công nhằm vào Israel. Vào năm 2017, một công cụ xóa dữ liệu mang tên IsraBye đã được phát hiện trong các cuộc tấn công nhằm vào các tổ chức của Israel. Năm 2023, Israel cũng đã hứng chịu nhiều cuộc tấn công xóa dữ liệu khác được cho là có liên quan đến các tin tặc từ Iran nhằm mục đích gây hỗn loạn và phá vỡ nền kinh tế của quốc gia này.
Bình luận (0)