Phần mềm độc hại được ẩn trên Google Sites và gửi dữ liệu đến máy chủ MySQL

Buzz

Ngày cập nhật gần nhất: 15/4/2026

Đọc tóm tắt

- Chuyên gia bảo mật phát hiện malware LoadPCBanker trên Google Sites, đánh cắp thông tin và dữ liệu.
- Malware giả mạo file PDF, tải payload từ trang web Kinghost, thu thập thông tin bằng otlook.exe.
- Dữ liệu đánh cắp được lưu trữ trên clipboard và ghi lại nhật ký đánh cắp phím.
- Malware cập nhật thông tin truy cập mới vào cơ sở dữ liệu SQL, giám sát máy tính và chụp ảnh màn hình.
- Tác nhân đe dọa theo dõi 20 máy chủ bị nhiễm, chiến dịch hoạt động từ tháng 2 năm 2019.

Các chuyên gia bảo mật mới phát hiện một loại malware (phần mềm độc hại) được lưu trữ trên nền tảng Google Sites, nơi tạo ra trang web và cho phép tin tặc đánh cắp thông tin, dữ liệu được chuyển đến máy chủ MySQL mà họ kiểm soát.

Được gọi là LoadPCBanker, malware này là một tệp thực thi ngụy trang dưới dạng file PDF, chứa thông tin về đặt phòng nhà nghỉ và được giấu trong không gian lưu trữ File Cabinet trên Google Site.

Tên file PDF được trích xuất là 'PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe', tiết lộ rằng tội phạm mạng nhắm đến nạn nhân sử dụng cả tiếng Anh và tiếng Bồ Đào Nha.

Vào ngày 12/4 vừa qua, nhóm nghiên cứu tại Netskope đã thông báo về các trang web Google liên quan đến việc lưu trữ phần mềm độc hại (malware). Những mẫu này vẫn còn và có thể tải xuống ngay lúc này.

Phần mềm độc hại đã được phát hiện bởi 47 trong tổng số 66 công cụ diệt virus trên nền tảng VirusTotal.

Trả lời BleepingComputer, nhóm nghiên cứu Netskope cho biết: 'Các mối đe dọa đã sử dụng trang web Google Sites cổ điển để tạo ra một trang web, sau đó sử dụng các mẫu file để tải lên payload, và cuối cùng gửi URL kết quả đến các mục tiêu tiềm năng'.

Khi được chạy, file PDF giả mạo sẽ tạo ra một thư mục và tải về các payload libmySQL50.DLL, otlook.exe và cliente.dll từ trang web lưu trữ file Kinghost.

Otlook.exe được đặt tên như vậy để mạo danh ứng dụng email Outlook của Microsoft và thu thập thông tin bằng cách chụp ảnh màn hình. Dữ liệu đánh cắp sẽ được lưu trữ trên clipboard và ghi lại nhật ký đánh cắp phím.

Ngoài ra, nó cũng được trang bị các chức năng như tải xuống các tệp chứa thông tin đăng nhập và chi tiết kết nối cho cơ sở dữ liệu SQL nhận thông tin bị đánh cắp. Các tệp này liên tục được cập nhật với thông tin truy cập mới.

Quá trình rò rỉ dữ liệu sẽ được hoàn tất với sự hỗ trợ của thành phần DLL, một thư viện tạo điều kiện cho việc kết nối với máy chủ cơ sở dữ liệu.

Bản ghi trong cơ sở dữ liệu cho thấy có 2 bảng dữ liệu có sẵn: một bảng chứa thông tin về máy tính bị nhiễm và bảng còn lại lưu trữ dữ liệu clipboard bị đánh cắp.

'Trong quá trình phân tích, chúng tôi phát hiện rằng tác nhân đe dọa đặc biệt quan tâm đến việc giám sát cụ thể bộ máy và chụp ảnh màn hình máy tính của nạn nhân trong cuộc tấn công này. Điều này được nhận biết thông qua nhiều phản ứng từ máy tính bị nhiễm. Hiện tại, tác nhân đe dọa đang tích cực theo dõi 20 máy chủ bị nhiễm malware'.

Nhóm nghiên cứu tin rằng phần mềm độc hại này xuất hiện từ đầu năm 2014, và các chiến dịch gần đây hoạt động từ tháng 2 năm 2019.

Chưa rõ liệu tác nhân đứng sau tất cả các cuộc tấn công có chia sẻ mã phần mềm độc hại với các tội phạm mạng khác hay không.

Để bảo vệ dữ liệu của bạn, hãy tải ngay các phần mềm diệt virus năm 2019 tốt nhất tại đây.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]