Chiến dịch phần mềm độc hại mới sử dụng phần mềm bị bẻ khóa để phát tán Lumma và ACR Stealer

Chiến dịch phần mềm độc hại mới sử dụng phần mềm bị bẻ khóa để phát tán Lumma và ACR Stealer

Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch mới sử dụng các phiên bản phần mềm đã bẻ khóa làm mồi nhử để phân phối các phần mềm đánh cắp thông tin như Lumma và ACR Stealer.

Trung tâm tình báo an ninh AhnLab (ASEC) cho biết họ đã quan sát thấy sự gia tăng đột biến về khối lượng phân phối ACR Stealer kể từ tháng 1 năm 2025.

Một khía cạnh đáng chú ý của phần mềm độc hại đánh cắp là việc sử dụng một kỹ thuật gọi là trình giải quyết thả chết để trích xuất máy chủ chỉ huy và kiểm soát (C2) thực tế. Điều này bao gồm việc dựa vào các dịch vụ hợp pháp như Steam, Telegraph của Telegram, Google Forms và Google Slides.

"Những kẻ đe dọa nhập tên miền C2 thực tế vào mã hóa Base64 trên một trang cụ thể", ASEC cho biết. "Phần mềm độc hại truy cập trang này, phân tích chuỗi và lấy địa chỉ tên miền C2 thực tế để thực hiện các hành vi độc hại".

Phương thức hoạt động của mã độc:

• Kỹ thuật "dead drop resolver": Mã độc sử dụng kỹ thuật này để trích xuất máy chủ điều khiển thực tế, bằng cách dựa vào các dịch vụ hợp pháp như Steam, Telegraph của Telegram, Google Forms và Google Slides. Kẻ tấn công nhập miền C2 thực tế được mã hóa Base64 trên một trang cụ thể. Mã độc truy cập trang này, phân tích chuỗi và lấy địa chỉ miền C2 thực tế để thực hiện các hành vi độc hại.
• Khả năng đánh cắp thông tin: ACR Stealer có khả năng thu thập nhiều loại thông tin từ hệ thống bị xâm nhập, bao gồm tệp tin, dữ liệu trình duyệt web và các tiện ích ví tiền điện tử.

Phát hiện liên quan:

• Sử dụng tệp MSC để phát tán mã độc: ASEC cũng tiết lộ một chiến dịch khác sử dụng các tệp có phần mở rộng "MSC", có thể được thực thi bởi Microsoft Management Console (MMC), để phát tán mã độc Rhadamanthys stealer. Các tệp MSC này được ngụy trang thành tài liệu MS Word. Khi người dùng nhấp vào nút "Open", nó sẽ tải xuống và thực thi một script PowerShell từ nguồn bên ngoài, chứa tệp EXE (Rhadamanthys).
• Khai thác lỗ hổng CVE-2024-43572: Một số tệp MSC lợi dụng lỗ hổng của apds.dll (CVE-2024-43572), còn được gọi là GrimResource, được phát hiện lần đầu bởi Elastic Security Labs vào tháng 6 năm 2024 và đã được Microsoft vá vào tháng 10 năm 2024.

Khuyến nghị bảo mật:

• Tránh sử dụng phần mềm bẻ khóa: Người dùng nên tránh tải xuống và cài đặt các phiên bản phần mềm bẻ khóa, vì chúng có thể chứa mã độc.
• Cập nhật phần mềm và hệ điều hành: Đảm bảo rằng tất cả các phần mềm và hệ điều hành đều được cập nhật các bản vá bảo mật mới nhất để giảm thiểu nguy cơ bị tấn công.
• Sử dụng phần mềm bảo mật đáng tin cậy: Cài đặt và duy trì các giải pháp bảo mật đáng tin cậy để phát hiện và ngăn chặn các mối đe dọa tiềm ẩn.

Người dùng và các tổ chức cần nâng cao nhận thức về các mối đe dọa liên quan đến việc sử dụng phần mềm bẻ khóa và thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ thông tin cá nhân và doanh nghiệp.

Hương – Theo TheHackerNews