VietNetwork.Vn

Hai nhóm phần mềm độc hại đã phải chịu hậu quả sau chiến dịch thực thi pháp luật có tên Endgame đã tái xuất như một phần của các chiến dịch lừa đảo mới.

Bumblebee và Latrodectus, cả hai đều là trình tải phần mềm độc hại, được thiết kế để đánh cắp dữ liệu cá nhân, đồng thời tải xuống và thực thi các phần mềm độc hại bổ sung vào máy chủ bị xâm phạm.


Được theo dõi dưới tên BlackWidow, IceNova, Lotus hoặc Unidentified 111, Latrodectus cũng được coi là phiên bản kế nhiệm của IcedID do sự chồng chéo về cơ sở hạ tầng giữa hai họ phần mềm độc hại. Nó đã được sử dụng trong các chiến dịch liên quan đến hai nhà môi giới truy cập ban đầu (IAB) được gọi là TA577 (hay còn gọi là Water Curupira) và TA578.

Vào tháng 5 năm 2024, một liên minh các nước châu Âu cho biết họ đã tháo dỡ hơn 100 máy chủ có liên quan đến một số chủng phần mềm độc hại như IcedID (và Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee và TrickBot.

"Mặc dù Latrodectus không được nhắc đến trong chiến dịch này, nhưng nó cũng bị ảnh hưởng và cơ sở hạ tầng của nó đã ngừng hoạt động", nhà nghiên cứu bảo mật João Batista của Bitsight lưu ý vào tháng 6 năm 2024.

Trong một phân tích được công bố đầu tháng này, công ty an ninh mạng Trustwave đã mô tả Latrodectus là một "mối đe dọa đặc biệt" đã được tăng cường sau Chiến dịch Endgame.

"Mặc dù ban đầu bị ảnh hưởng, Latrodectus đã nhanh chóng phục hồi. Các khả năng tiên tiến của nó đã lấp đầy khoảng trống mà các đối thủ bị vô hiệu hóa để lại, khẳng định mình là mối đe dọa đáng gờm", công ty an ninh mạng cho biết.

Các chuỗi tấn công thường tận dụng các chiến dịch thư rác độc hại, khai thác các chuỗi email bị chiếm đoạt và mạo danh các thực thể hợp pháp như Microsoft Azure và Google Cloud để kích hoạt quy trình triển khai phần mềm độc hại.

Trình tự lây nhiễm mới được phát hiện của Forcepoint và Logpoint đi theo cùng một lộ trình, với các email có chủ đề DocuSign mang tệp đính kèm PDF chứa liên kết độc hại hoặc tệp HTML có mã JavaScript nhúng được thiết kế để tải xuống trình cài đặt MSI và tập lệnh PowerShell.

Bất kể phương pháp nào được sử dụng, cuộc tấn công đều sẽ dẫn đến việc triển khai một tệp DLL độc hại, sau đó khởi chạy phần mềm độc hại Latrodectus.


Nhà nghiên cứu Mayur Sewani của Forcepoint cho biết: "Latrodectus tận dụng cơ sở hạ tầng cũ kết hợp với phương pháp phân phối phần mềm độc hại mới, sáng tạo vào các lĩnh vực tài chính, ô tô và kinh doanh".

Các chiến dịch Latrodectus đang diễn ra trùng khớp với sự trở lại của trình tải Bumblebee, sử dụng tệp lưu trữ ZIP có khả năng được tải xuống qua email lừa đảo làm cơ chế phân phối.

Nhà nghiên cứu Leandro Fróes của Netskope cho biết: "Tệp ZIP chứa tệp LNK có tên 'Report-41952.lnk', khi được thực thi, sẽ bắt đầu một chuỗi sự kiện để tải xuống và thực thi tải trọng Bumblebee cuối cùng trong bộ nhớ, tránh phải ghi DLL vào đĩa ".


Tệp LNK có mục đích thực thi lệnh PowerShell để tải xuống trình cài đặt MSI từ máy chủ từ xa. Sau khi khởi chạy, các mẫu MSI, được ngụy trang thành trình cài đặt từ NVIDIA và Midjourney, đóng vai trò là kênh để khởi chạy Bumblebee DLL.

Fróes chỉ ra rằng: "Bumblebee sử dụng phương pháp ẩn hơn để tránh việc tạo ra các tiến trình khác và tránh việc ghi dữ liệu cuối cùng vào đĩa".

"Nó thực hiện điều này bằng cách sử dụng bảng SelfReg để buộc thực thi hàm xuất DllRegisterServer có trong một tệp trong bảng File. Mục nhập trong bảng SelfReg hoạt động như một khóa để chỉ ra tệp nào sẽ thực thi trong bảng File và trong trường hợp của chúng tôi, đó là DLL tải trọng cuối cùng."