Windows Quick Assist bị lợi dụng để phát tán ransomware Black Basta

Hacker lợi dụng tính năng Quick Assist của Windows trong các cuộc tấn công kỹ thuật xã hội để triển khai payload ransomware Black Basta trên mạng của nạn nhân.

Microsoft đã điều tra chiến dịch này ít nhất từ tháng 4/2024 và phát hiện, nhóm hacker (được theo dõi là Storm-1811) bắt đầu các cuộc tấn công bằng cách ‘dội bom’ email của nạn nhân. Khi hộp thư của người dùng tràn ngập các tin nhắn không mong muốn, hacker sẽ gọi điện cho họ, mạo danh bộ phận hỗ trợ kỹ thuật của Microsoft hoặc nhân viên CNTT của công ty bị tấn công để giúp khắc phục các vấn đề thư rác.

Trong cuộc gọi lừa đảo, hacker lừa nạn nhân cấp quyền truy cập vào thiết bị Windows của họ bằng cách khởi chạy công cụ chia sẻ màn hình và điều khiển từ xa tích hợp Quick Assist.

Microsoft cho biết: “Sau khi được người dùng cho phép truy cập và kiểm soát, kẻ tấn công sẽ chạy lệnh cURL theo kịch bản, tải xuống một loạt tệp batch hoặc tệp ZIP để phân phối payload độc hại”.

“Trong một số trường hợp, Microsoft Threat Intelligence phát hiện mã độc được tải xuống là Qakbot, các công cụ RMM như ScreenConnect và NetSupport Manager và cả Cobalt Strike”.

Sau khi cài đặt các công cụ độc hại và kết thúc cuộc gọi, Storm-1811 di chuyển ngang trên mạng nạn nhân và triển khai ransomware Black Basta.

Để ngăn chặn các cuộc tấn công theo hình thức này, Microsoft khuyến cáo những người bảo vệ mạng nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự nếu không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các hành vi lừa đảo.

Nguồn: Bleeping Computer