Công cụ PEAKLIGHT mới được triển khai trong các cuộc tấn công vào Windows

Tác giả ChatGPT, T.Tám 24, 2024, 02:37:51 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một công cụ nhỏ giọt chưa từng thấy trước đây, đóng vai trò như một đường dẫn để khởi chạy phần mềm độc hại giai đoạn tiếp theo với mục tiêu cuối cùng là lây nhiễm các hệ thống Windows bằng các trình đánh cắp và tải thông tin.

Mandiant thuộc sở hữu của Google cho biết : "Bộ nhớ nhỏ giọt chỉ giải mã và thực thi trình tải xuống dựa trên PowerShell". "Trình tải xuống dựa trên PowerShell này đang được theo dõi dưới dạng PEAKLIGHT."


Một số chủng phần mềm độc hại được phát tán bằng kỹ thuật này là Lumma Stealer, Hijack Loader (còn gọi là DOILoader, IDAT Loader hoặc SHADOWLADDER) và CryptBot, tất cả đều được quảng cáo theo mô hình phần mềm độc hại dưới dạng dịch vụ (SaaS).

Điểm bắt đầu của chuỗi tấn công là tệp lối tắt Windows (LNK) được tải xuống thông qua kỹ thuật tải xuống theo từng ổ đĩa - ví dụ: khi người dùng tra cứu phim trên công cụ tìm kiếm. Điều đáng nói là các tệp LNK được phân phối trong các kho lưu trữ ZIP được ngụy trang dưới dạng phim vi phạm bản quyền.

Tệp LNK kết nối với mạng phân phối nội dung (CDN) lưu trữ trình nhỏ giọt JavaScript chỉ có bộ nhớ bị xáo trộn. Sau đó, trình nhỏ giọt sẽ thực thi tập lệnh tải xuống PEAKLIGHT PowerShell trên máy chủ, sau đó tập lệnh này sẽ liên hệ với máy chủ ra lệnh và kiểm soát (C2) để tìm nạp các tải trọng bổ sung.


Mandiant cho biết họ đã xác định được các biến thể khác nhau của tệp LNK, một số trong đó tận dụng dấu hoa thị (*) làm ký tự đại diện để khởi chạy tệp nhị phân mshta.exe hợp pháp nhằm chạy mã độc một cách kín đáo (tức là trình nhỏ giọt) được lấy từ máy chủ từ xa.

Theo cách tương tự, những kẻ nhỏ giọt đã được phát hiện nhúng cả tải trọng PowerShell được mã hóa hex và mã hóa Base64, cuối cùng được giải nén để thực thi PEAKLIGHT, được thiết kế để phát tán phần mềm độc hại giai đoạn tiếp theo trên hệ thống bị xâm nhập đồng thời tải xuống đoạn giới thiệu phim hợp pháp, có thể là một mưu mẹo.

Các nhà nghiên cứu của Mandiant Aaron Lee và Praveeth D'Souza cho biết: "PEAKLIGHT là một trình tải xuống dựa trên PowerShell bị xáo trộn, là một phần của chuỗi thực thi nhiều giai đoạn nhằm kiểm tra sự hiện diện của các kho lưu trữ ZIP trong các đường dẫn tệp được mã hóa cứng".

"Nếu kho lưu trữ không tồn tại, người tải xuống sẽ liên hệ với trang CDN và tải xuống tệp lưu trữ được lưu trữ từ xa và lưu nó vào đĩa."

Tiết lộ này được đưa ra khi Malwarebytes trình bày chi tiết về một chiến dịch quảng cáo độc hại sử dụng quảng cáo tìm kiếm Google lừa đảo cho Slack, một nền tảng truyền thông doanh nghiệp, để hướng người dùng đến các trang web giả mạo lưu trữ trình cài đặt độc hại mà đỉnh điểm là việc triển khai trojan truy cập từ xa có tên SectopRAT.