Công nghệ

Phần mềm độc hại được lưu trữ trên Google Sites gửi dữ liệu đến máy chủ MySQL

Các nhà nghiên cứu bảo mật đã phát hiện ra phần mềm độc hại (malware) được lưu trữ trên nền tảng Google Sites để xây dựng trang web, cho phép kẻ tấn công đánh cắp thông tin và dữ liệu gửi đến máy chủ. MySQL được kiểm soát bởi họ.

Được đặt tên là LoadPCBanker, phần mềm độc hại (malware) là một tệp thực thi được ngụy trang dưới dạng tệp PDF chứa thông tin đặt phòng trọ và được lưu trữ trong không gian lưu trữ của Tủ tệp cho Google Sites.

Tên tệp PDF được trích xuất có tên là “Chi tiết đặt trước PDF MANOEL CARVALHO hospedagem quen thuộc detalhes PDF.exe “, Tội phạm mạng nhắm mục tiêu vào các nạn nhân sử dụng ngôn ngữ tiếng Anh và tiếng Bồ Đào Nha.

Vào ngày 12 tháng 4, các nhà nghiên cứu tại Netskope đã báo cáo các trang web liên quan của Google lưu trữ phần mềm độc hại. Các mẫu vẫn có sẵn và vẫn có sẵn để tải xuống tại thời điểm viết bài.

Phần mềm độc hại được lưu trữ trên các trang web của Google, hướng dẫn sử dụng chỉ có sẵn cho mysql 2

Phần mềm độc hại đã được phát hiện bởi 47 trong số 66 công cụ chống vi-rút trên nền tảng VirusTotal.

Trả lời BleepingComputer, các nhà nghiên cứu tại Netskope cho biết: “Các mối đe dọa đã sử dụng các trang Google Sites cổ điển của Google để tạo trang web, sau đó sử dụng các mẫu tệp để tải trọng tải lên và cuối cùng gửi URL kết quả đến các mục tiêu tiềm năng”.

Phần mềm độc hại được lưu trữ trên các trang web của google, cơ sở dữ liệu được sử dụng bởi mysql 3

Khi khởi chạy, tệp PDF giả mạo sẽ tạo một thư mục và tải xuống các tải trọng libmySQL50.DLL, otlook.exe và cliente.dll từ trang web lưu trữ tệp Kinghost.

Lý do Otlook.exe được đặt tên như vậy để mạo danh ứng dụng email khách Outlook của Microsoft và đánh cắp thông tin có thể chụp ảnh màn hình, dữ liệu bị đánh cắp sẽ được lưu trên clipboard và nhật ký tổ hợp phím.

Ngoài ra, nó còn được trang bị các chức năng như trình tải xuống các tệp chứa thông tin đăng nhập và chi tiết kết nối cho cơ sở dữ liệu SQL nhận thông tin bị đánh cắp. Các tệp được cập nhật liên tục với thông tin truy cập mới.

Việc rò rỉ dữ liệu sẽ được hoàn thành với sự trợ giúp của thành phần DLL , thư viện này tạo điều kiện kết nối với máy chủ cơ sở dữ liệu.

Phần mềm độc hại được lưu trữ trên google site hướng dẫn dữ liệu cho mysql 4

Bản ghi cơ sở dữ liệu cho thấy có sẵn 2 bảng: một bảng chứa thông tin về máy tính bị nhiễm và bảng còn lại chứa dữ liệu clipboard bị đánh cắp.

Phần mềm độc hại được lưu trữ trên các trang web của Google, hướng dẫn dữ liệu chỉ có sẵn cho mysql 5

“Trong quá trình phân tích, chúng tôi phát hiện ra rằng kẻ đe dọa đặc biệt quan tâm đến việc giám sát máy móc cụ thể và chụp ảnh màn hình máy tính của nạn nhân của cuộc tấn công này. Chúng tôi nhận thấy điều này vì đã có rất nhiều phản ứng máy tính bị nhiễm. Tại thời điểm viết bài, kẻ đe dọa đang tích cực theo dõi 20 vật chủ bị nhiễm. ”

Các nhà nghiên cứu tin rằng phần mềm độc hại đã xuất hiện từ đầu năm 2014. Các chiến dịch gần đây đã hoạt động kể từ tháng 2 năm 2019.

Không rõ liệu kẻ đứng sau tất cả các cuộc tấn công hay mã phần mềm độc hại đã được chia sẻ với các tội phạm mạng khác.


Để tự bảo vệ dữ liệu của bạn, vui lòng tải xuống phần mềm diệt vi rút 2019 tốt nhất ở đây.

.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button