Bài viết từ Cybersecurity News mô tả một cuộc tấn công chuỗi cung ứng tinh vi đã làm compromise hơn 100 đại lý ô tô trên toàn quốc. Dưới đây là những điểm chính từ bài viết:
- Vector Tấn Công:
- Cuộc tấn công không diễn ra trên các website của các đại lý mà thông qua một dịch vụ video bên thứ ba thường được sử dụng trong ngành ô tô, cụ thể là “idostream.com” và một script bị xâm nhập có tên “les_video_srp.js” chứa mã bị che giấu.
- Triển Khai Malware:
- Người truy cập vào các website của đại lý bị ảnh hưởng đã vô tình tiếp xúc với JavaScript độc hại, điều này đã chuyển hướng họ đến các trang lừa đảo yêu cầu tương tác. Mã độc đã được thiết kế để cài đặt trojan truy cập từ xa SectopRAT (RAT) trên hệ thống của họ.
- Kỹ Thuật Social Engineering:
- Cuộc tấn công đã hiển thị cho người truy cập một trang xác minh CAPTCHA giả mạo tuyên bố rằng nó xác minh “Tôi không phải là robot.” Sau khi nhấp vào ô kiểm, người dùng được yêu cầu thực hiện các hành động sẽ vô tình thực thi mã độc trên máy tính của họ. Trang web đã thao túng clipboard của người dùng, chèn vào một lệnh PowerShell độc hại sẽ được thực thi khi được dán vào Windows Run.
- Tải Malware:
- Lệnh PowerShell đã tải xuống một tệp ZIP (Lancaster.zip) chứa malware SectopRAT, cho phép các kẻ tấn công truy cập từ xa vào các hệ thống bị nhiễm, có khả năng dẫn đến việc đánh cắp thông tin đăng nhập và rò rỉ dữ liệu. Malware này nhận được điểm số mối đe dọa 10/10, xác nhận mức độ nghiêm trọng của nó.
- Khắc Phục:
- Dịch vụ bên thứ ba LES Automotive được cho là đã khắc phục vấn đề, mặc dù quy mô đầy đủ của sự xâm phạm và số lượng người dùng bị ảnh hưởng vẫn chưa rõ ràng.
Cuộc tấn công này nhấn mạnh tầm quan trọng của việc bảo mật các dịch vụ bên thứ ba và thường xuyên đánh giá các lỗ hổng trong các ứng dụng web để ngăn chặn các cuộc tấn công chuỗi cung ứng tinh vi như vậy.
