Các trang web giả mạo Google Chrome phân phối phần mềm độc hại ValleyRAT thông qua DLL Hijacking
Các trang web giả mạo Google Chrome phân phối phần mềm độc hại ValleyRAT thông qua DLL Hijacking
Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối trình cài đặt độc hại cho trojan truy cập từ xa có tên là ValleyRAT.
.png "Các trang web giả mạo Google Chrome phân phối phần mềm độc hại ValleyRAT thông qua DLL Hijacking")
Phần mềm độc hại này, lần đầu tiên được phát hiện vào năm 2023, được cho là do một tác nhân đe dọa được theo dõi là Silver Fox, với các chiến dịch tấn công trước đó chủ yếu nhắm vào các khu vực nói tiếng Trung Quốc như Hồng Kông, Đài Loan và Trung Quốcđại lục.
Phương thức tấn công:
- Trang web giả mạo: Kẻ tấn công tạo ra các trang web giả mạo quảng cáo Google Chrome, nhằm lừa người dùng tải xuống tệp ZIP chứa tệp thực thi độc hại có tên "Setup.exe".
- Chiến thuật phân phối: Các liên kết đến các trang web giả mạo này chủ yếu được phân phối thông qua các chiến dịch tải xuống tự động (drive-by download). Người dùng tìm kiếm trình duyệt Chrome có thể vô tình truy cập vào các trang web độc hại này và tải xuống trình cài đặt giả mạo.
- Kỹ thuật DLL Hijacking: Tệp thực thi "Setup.exe" khi được chạy sẽ tải xuống các payload bổ sung, bao gồm một tệp thực thi hợp pháp liên quan đến Douyin ("Douyin.exe"), phiên bản TikTok tại Trung Quốc. Tệp này sau đó sẽ tải một DLL độc hại ("tier0.dll"), từ đó khởi chạy malware ValleyRAT.
Đặc điểm của ValleyRAT:
- Khả năng giám sát: ValleyRAT có khả năng giám sát nội dung màn hình, ghi lại thao tác phím và duy trì sự tồn tại trên hệ thống bị nhiễm.
- Liên lạc từ xa: Malware này có thể thiết lập kết nối với máy chủ điều khiển từ xa để nhận lệnh, cho phép liệt kê các tiến trình, tải xuống và thực thi các DLL và tệp thực thi tùy ý.
Khuyến nghị bảo mật:
- Tải phần mềm từ nguồn chính thống: Người dùng nên luôn tải xuống phần mềm từ các trang web chính thức hoặc các nguồn đáng tin cậy để giảm thiểu nguy cơ bị nhiễm malware.
- Cảnh giác với các trang web không rõ nguồn gốc: Tránh truy cập và tải xuống từ các trang web không rõ nguồn gốc hoặc có dấu hiệu đáng ngờ.
- Sử dụng phần mềm bảo mật: Cài đặt và duy trì cập nhật phần mềm diệt virus và các giải pháp bảo mật khác để phát hiện và ngăn chặn các mối đe dọa tiềm ẩn.
Việc nhận thức và tuân thủ các biện pháp bảo mật này sẽ giúp người dùng bảo vệ hệ thống của mình khỏi các mối đe dọa như ValleyRAT.
Hương – Theo TheHackerNews
Tin liên quan:
Meta vừa đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong thư viện mã nguồn mở FreeType, có thể bị khai thác để thực thi mã độc từ xa. Lỗ...
Chi tiết.jpg)
Nhóm chuyên gia Kaspersky ICS CERT vừa phát hiện một chiến dịch tấn công mạng nhắm vào các tổ chức công nghiệp tại khu vực châu Á – Thái Bình Dương...
Chi tiết
Mozilla vừa đưa ra cảnh báo rằng một chứng chỉ bảo mật quan trọng sắp hết hạn vào ngày 14/3/2025, có thể gây ra nhiều sự cố trên trình duyệt Firefox....
Chi tiết