Có tên gọi là LoadPCBanker, phần mềm độc hại ( malware ) là một file thực thi ngụy trang dưới dạng file PDF chứa thông tin đặt phòng của nhà nghỉ và được lưu trữ trong không gian lưu trữ File Cabinet cho Google Site.
Tên file PDF được trích xuất có tên là "PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe ", cho biết tội phạm mạng nhắm mục tiêu vào các nạn nhân sử dụng ngôn ngữ tiếng Anh và tiếng Bồ Đào Nha.
Vào hôm 12/4 vừa qua, các nhà nghiên cứu tại Netskope đã báo cáo các trang web Google liên quan lưu trữ malware (phần mềm độc hại). Các mẫu vẫn còn và vẫn có thể tải xuống tại thời điểm viết bài.
Phần mềm độc hại được phát hiện bởi 47 trong tổng số 66 công cụ diệt virus trên nền tảng VirusTotal.
Trả lời BleepingComputer, các nhà nghiên cứu tại Netskope cho biết: "Các mối đe dọa đã sử dụng các trang web Google Sites cổ điển của Google để tạo một trang web, sau đó sử dụng các mẫu file để tải lên payload, cuối cùng gửi URL kết quả đến các mục tiêu tiềm năng".
Khi được khởi chạy, file PDF giả mạo sẽ tạo một thư mục và tải xuống các payload libmySQL50.DLL, otlook.exe và cliente.dll từ trang web lưu trữ file Kinghost.
Sở dĩ Otlook.exe được đặt tên như vậy để giả mạo ứng dụng email Outlook của Microsoft và đánh cắp các thông tin có thể chụp ảnh màn hình, dữ liệu đánh cắp sẽ được lưu trên clipboard và nhật ký keystroke.
Ngoài ra nó còn được trang bị các chức năng như trình tải xuống các file chứa thông tin đăng nhập và chi tiết kết nối cho cơ sở dữ liệu SQL nhận thông tin bị đánh cắp. Các file được cập nhật liên tục với các thông tin truy cập mới.
Việc rò rỉ dữ liệu sẽ hoàn tất với sự trợ giúp của thành phần DLL , thư viện này tạo điều kiện cho việc kết nối với máy chủ cơ sở dữ liệu.
Bản ghi cơ sở dữ liệu có thấy có 2 bảng có sẵn: một bảng chứa thông tin về máy tính bị nhiễm và bảng còn lại chứa dữ liệu clipboard bị đánh cắp.
"Trong quá trình phần tích, chúng tôi phát hiện ra rằng tác nhân đe dọa đặc biệt quan tâm đến việc giám sát bộ máy cụ thể và chụp ảnh màn hình máy tính nạn nhân của cuộc tấn công này. Chúng tôi nhận thấy điều này vì có rất nhiều phản ứng máy tính bị nhiễm. Tại thời điểm viết bài, tác nhân đe dọa đang tích cực theo dõi 20 vật chủ bị nhiễm malware".
Các nhà nghiên cứu tin rằng phần mềm độc hại này xuất hiện từ đầu năm 2014. Các chiến dịch gần đây hoạt động kể từ tháng 2 năm 2019.
Chưa rõ liệu tác nhân đứng sau tất cả các cuộc tấn công hay mã phần mềm độc hại có được chia sẻ với các tội phạm mạng khác hay không.
Để tự bảo vệ dữ liệu của mình, các bạn hãy tải ngay các phần mềm diệt virus 2019 tốt nhất tại đây.