Tin tặc ẩn phần mềm độc hại trong hình ảnh để triển khai VIP Keylogger và 0bj3ctivity Stealer
Tin tặc ẩn phần mềm độc hại trong hình ảnh để triển khai VIP Keylogger và 0bj3ctivity Stealer
Các tác nhân đe dọa đã được phát hiện che giấu mã độc trong hình ảnh để phát tán phần mềm độc hại như VIP Keylogger và 0bj3ctivity Stealer như một phần của các chiến dịch riêng biệt.
"Trong cả hai chiến dịch, kẻ tấn công đã ẩn mã độc trong hình ảnh mà chúng tải lên archive[.]org, một trang web lưu trữ tệp và sử dụng cùng một trình tải .NET để cài đặt các tải trọng cuối cùng của chúng", HP Wolf Security cho biết trong Báo cáo về thông tin chi tiết về mối đe dọa cho quý 3 năm 2024 được chia sẻ với The Hacker News.
Điểm khởi đầu là một email lừa đảo ngụy trang thành hóa đơn và đơn đặt hàng để lừa người nhận mở các tệp đính kèm độc hại, chẳng hạn như tài liệu Microsoft Excel, khi mở ra, sẽ khai thác lỗ hổng bảo mật đã biết trong Equation Editor (CVE-2017-11882) để tải xuống tệp VBScript.
Về phần mình, tập lệnh được thiết kế để giải mã và chạy tập lệnh PowerShell lấy hình ảnh được lưu trữ trên archive[.]org và trích xuất mã được mã hóa Base64, sau đó được giải mã thành tệp thực thi .NET và được thực thi.
Tệp thực thi .NET đóng vai trò là trình tải để tải xuống VIP Keylogger từ một URL nhất định và chạy tệp đó, cho phép kẻ tấn công đánh cắp nhiều loại dữ liệu từ các hệ thống bị nhiễm, bao gồm các lần nhấn phím, nội dung bảng tạm, ảnh chụp màn hình và thông tin đăng nhập. VIP Keylogger có chức năng trùng lặp với Snake Keylogger và 404 Keylogger.
Một chiến dịch tương tự đã được phát hiện để gửi các tệp lưu trữ độc hại đến các mục tiêu qua email. Những thông báo này, dưới dạng yêu cầu báo giá, nhằm mục đích dụ khách truy cập mở tệp JavaScript trong tệp lưu trữ, sau đó khởi chạy tập lệnh PowerShell.
Giống như trong trường hợp trước, tập lệnh PowerShell tải xuống hình ảnh từ máy chủ từ xa, phân tích cú pháp mã được mã hóa Base64 bên trong hình ảnh đó và chạy cùng một trình tải dựa trên .NET. Điểm khác biệt là chuỗi tấn công lên đến đỉnh điểm với việc triển khai một kẻ đánh cắp thông tin có tên 0bj3ctivity.
Điểm tương đồng giữa hai chiến dịch cho thấy rằng các tác nhân đe dọa đang tận dụng các bộ phần mềm độc hại để cải thiện hiệu quả chung, đồng thời giảm thời gian và chuyên môn kỹ thuật cần thiết để tạo ra các cuộc tấn công.
HP Wolf Security cũng cho biết họ đã quan sát thấy các tác nhân xấu sử dụng các kỹ thuật chuyển hướng HTML để thả trojan truy cập từ xa (RAT) XWorm bằng trình thả AutoIt, tương tự như các chiến dịch trước đó đã phân phối AsyncRAT theo cách tương tự.
"Đáng chú ý là các tệp HTML có dấu hiệu cho thấy chúng được viết bằng sự trợ giúp của GenAI", HP cho biết. "Hoạt động này chỉ ra việc sử dụng GenAI ngày càng tăng trong các giai đoạn truy cập ban đầu và phân phối phần mềm độc hại của chuỗi tấn công".
"Thật vậy, các tác nhân đe dọa có thể thu được nhiều lợi ích từ GenAI, từ việc mở rộng các cuộc tấn công và tạo ra các biến thể có thể làm tăng tỷ lệ lây nhiễm của chúng, cho đến việc khiến các nhà bảo vệ mạng khó xác định được thủ phạm hơn".
Không chỉ có vậy. Các tác nhân đe dọa đã được phát hiện tạo ra các kho lưu trữ GitHub quảng cáo các công cụ gian lận và sửa đổi trò chơi điện tử để triển khai phần mềm độc hại Lumma Stealer bằng cách sử dụng trình thả .NET.
"Các chiến dịch được phân tích cung cấp thêm bằng chứng về việc thương mại hóa tội phạm mạng", Alex Holland, nhà nghiên cứu mối đe dọa chính tại Phòng thí nghiệm bảo mật HP, cho biết. "Vì các bộ công cụ phần mềm độc hại theo số lượng có sẵn miễn phí hơn, giá cả phải chăng hơn và dễ sử dụng hơn, ngay cả những người mới bắt đầu với kỹ năng và kiến thức hạn chế cũng có thể tạo ra một chuỗi lây nhiễm hiệu quả".
Hương – Theo TheHackerNews
Tin liên quan:
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà quảng cáo của Microsoft bằng các quảng cáo Google...
Chi tiếtApple đã phát hành bản cập nhật phần mềm để giải quyết một số lỗi bảo mật trong danh mục đầu tư của mình, bao gồm lỗ hổng zero-day mà công ty cho...
Chi tiếtMột lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong khuôn khổ mô hình ngôn ngữ lớn (LLM) Llama của Meta, nếu khai thác thành công, có thể cho phép...
Chi tiết