Một công cụ hack mới được dùng để thực hiện các cuộc tấn công email đã được các kẻ đe dọa quảng bá trên các diễn đàn hacker vào giữa năm ngoái. Theo các quảng cáo được đăng và quảng bá trên các diễn đàn hacker, việc sử dụng nó có thể giúp vượt qua Windows Defender, Windows AMSI (Antimalware Scan Interface) một cách hiệu quả và các bộ lọc bảo mật của các dịch vụ email phổ biến, bao gồm cả Gmail

Các nhà nghiên cứu an ninh mạng tại công ty bảo mật Intel 471 đã chỉ ra rằng “EtterSilent” có thể tạo ra hai loại tài liệu Microsoft Office giả mạo – bằng một thủ đoạn khai thác hoặc một macro độc hại.

Làm thế nào nó hoạt động?

Trong số các khai thác trong kho vũ khí của trình xây dựng là CVE-2017-8570 , CVE-2017-11882 và CVE-2018-0802 , không có tác dụng trên Windows với phiên bản mới nhất của Microsoft Office.

Nói chung, những kẻ tấn công email chủ yếu ưa chuộng tùy chọn macro độc hại, vì nó tương thích với bất kỳ phiên bản Microsoft Office nào được EtterSilent (2007-2019) hỗ trợ. 

Ở đây, nạn nhân tiềm năng chỉ cần được thuyết phục để kích hoạt chức năng thích hợp; và các tài liệu đó vẫn đang được phân phối bởi các tác nhân đe dọa thay mặt cho DocuSign hoặc DigiCert. 

Tuy nhiên, đáng chú ý là trong trường hợp này, macro XML của Microsoft Excel 4.0 được sử dụng chứ không phải VBA.

Hiện tại, các dấu hiệu sử dụng EtterSilent được nhìn thấy trong các email nhằm phân phối Trickbot , BazarLoader, cũng như các Trojan ngân hàng như IcedID / BokBot, QakBot / QBot và Ursnif, Rovnix, Gozi và Papras.

Theo các chuyên gia an ninh mạng mã độc tạo ra bởi EtterSilent chỉ được phân biệt bởi một số trình quét chống vi-rút từ bộ VirusTotal vào tuần trước, và bây giờ chúng được phát hiện bởi một phần ba hoặc thậm chí một nửa.