Các trang web giả mạo Google Chrome phân phối phần mềm độc hại ValleyRAT thông qua DLL Hijacking
Các trang web giả mạo Google Chrome phân phối phần mềm độc hại ValleyRAT thông qua DLL Hijacking
Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối trình cài đặt độc hại cho trojan truy cập từ xa có tên là ValleyRAT.
.png "Các trang web giả mạo Google Chrome phân phối phần mềm độc hại ValleyRAT thông qua DLL Hijacking")
Phần mềm độc hại này, lần đầu tiên được phát hiện vào năm 2023, được cho là do một tác nhân đe dọa được theo dõi là Silver Fox, với các chiến dịch tấn công trước đó chủ yếu nhắm vào các khu vực nói tiếng Trung Quốc như Hồng Kông, Đài Loan và Trung Quốcđại lục.
Phương thức tấn công:
- Trang web giả mạo: Kẻ tấn công tạo ra các trang web giả mạo quảng cáo Google Chrome, nhằm lừa người dùng tải xuống tệp ZIP chứa tệp thực thi độc hại có tên "Setup.exe".
- Chiến thuật phân phối: Các liên kết đến các trang web giả mạo này chủ yếu được phân phối thông qua các chiến dịch tải xuống tự động (drive-by download). Người dùng tìm kiếm trình duyệt Chrome có thể vô tình truy cập vào các trang web độc hại này và tải xuống trình cài đặt giả mạo.
- Kỹ thuật DLL Hijacking: Tệp thực thi "Setup.exe" khi được chạy sẽ tải xuống các payload bổ sung, bao gồm một tệp thực thi hợp pháp liên quan đến Douyin ("Douyin.exe"), phiên bản TikTok tại Trung Quốc. Tệp này sau đó sẽ tải một DLL độc hại ("tier0.dll"), từ đó khởi chạy malware ValleyRAT.
Đặc điểm của ValleyRAT:
- Khả năng giám sát: ValleyRAT có khả năng giám sát nội dung màn hình, ghi lại thao tác phím và duy trì sự tồn tại trên hệ thống bị nhiễm.
- Liên lạc từ xa: Malware này có thể thiết lập kết nối với máy chủ điều khiển từ xa để nhận lệnh, cho phép liệt kê các tiến trình, tải xuống và thực thi các DLL và tệp thực thi tùy ý.
Khuyến nghị bảo mật:
- Tải phần mềm từ nguồn chính thống: Người dùng nên luôn tải xuống phần mềm từ các trang web chính thức hoặc các nguồn đáng tin cậy để giảm thiểu nguy cơ bị nhiễm malware.
- Cảnh giác với các trang web không rõ nguồn gốc: Tránh truy cập và tải xuống từ các trang web không rõ nguồn gốc hoặc có dấu hiệu đáng ngờ.
- Sử dụng phần mềm bảo mật: Cài đặt và duy trì cập nhật phần mềm diệt virus và các giải pháp bảo mật khác để phát hiện và ngăn chặn các mối đe dọa tiềm ẩn.
Việc nhận thức và tuân thủ các biện pháp bảo mật này sẽ giúp người dùng bảo vệ hệ thống của mình khỏi các mối đe dọa như ValleyRAT.
Hương – Theo TheHackerNews
Tin liên quan:
Nhiều ứng dụng phổ biến do Trung Quốc phát triển bị phát hiện thu thập dữ liệu quá mức và gửi về máy chủ nước ngoài – người dùng được khuyến nghị gỡ...
Chi tiết
Mã độc IconAds giả danh thông báo vi phạm bản quyền phát trên Android, yêu cầu người dùng gọi đến số hỗ trợ và cài app độc – cần cảnh giác để tránh...
Chi tiết
Các tiện ích mở rộng Firefox trá hình như hữu ích trên AMO đang âm thầm thu thập thông tin nhạy cảm và mã hóa hiển thị – người dùng cần xem lại và...
Chi tiết