VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết về một chiến dịch phần mềm độc hại tinh vi mới, tận dụng quảng cáo trả phí trên các công cụ tìm kiếm như Google để phát tán phần mềm độc hại tới những người dùng không nghi ngờ đang tìm kiếm các công cụ phổ biến như GitHub Desktop.

Trong khi các chiến dịch quảng cáo độc hại đã trở nên phổ biến trong những năm gần đây, hoạt động mới nhất mang đến một chút thay đổi: Nhúng cam kết GitHub vào URL trang có chứa các liên kết đã thay đổi trỏ đến cơ sở hạ tầng do kẻ tấn công kiểm soát.


Arctic Wolf cho biết trong báo cáo được công bố tuần trước: "Ngay cả khi một liên kết dường như trỏ đến một nền tảng có uy tín như GitHub, thì URL cơ bản vẫn có thể bị thao túng để chuyển hướng đến một trang web giả mạo".

Các liên kết trong cam kết GitHub giả mạo được nhắm mục tiêu độc quyền vào các công ty phát triển phần mềm và CNTT ở Tây Âu kể từ ít nhất tháng 12 năm 2024, được thiết kế để dẫn người dùng đến một bản tải xuống độc hại được lưu trữ trên một tên miền tương tự ("gitpage[.]app").

Phần mềm độc hại giai đoạn đầu được phát tán bằng kết quả tìm kiếm bị nhiễm độc là một Microsoft Software Installer (MSI) 128 MB cồng kềnh, do kích thước quá lớn nên có thể vượt qua hầu hết các hộp cát bảo mật trực tuyến hiện có, trong khi một quy trình giải mã được kiểm soát bởi Bộ xử lý đồ họa (GPU) giữ cho tải trọng được mã hóa trên các hệ thống không có GPU thực sự. Kỹ thuật này có tên mã là GPUGate.

"Các hệ thống không có trình điều khiển GPU phù hợp có thể là máy ảo (VM), hộp cát hoặc môi trường phân tích cũ mà các nhà nghiên cứu bảo mật thường sử dụng", công ty an ninh mạng cho biết. "Tệp thực thi [...] sử dụng các hàm GPU để tạo khóa mã hóa nhằm giải mã payload, và nó sẽ kiểm tra tên thiết bị GPU trong quá trình này."

Ngoài việc kết hợp một số tệp rác làm chất độn và làm phức tạp quá trình phân tích, nó còn chấm dứt thực thi nếu tên thiết bị nhỏ hơn 10 ký tự hoặc chức năng GPU không khả dụng.

Cuộc tấn công sau đó bao gồm việc thực thi một tập lệnh Visual Basic để khởi chạy một tập lệnh PowerShell, sau đó chạy với quyền quản trị viên, thêm các loại trừ của Microsoft Defender, thiết lập các tác vụ theo lịch trình để duy trì và cuối cùng chạy các tệp thực thi được trích xuất từ tệp ZIP đã tải xuống.

Mục tiêu cuối cùng là tạo điều kiện cho hành vi đánh cắp thông tin và phát tán các payload thứ cấp, đồng thời tránh bị phát hiện. Người ta đánh giá rằng những kẻ tấn công đứng sau chiến dịch này có trình độ tiếng Nga bản địa, xét đến sự hiện diện của các bình luận tiếng Nga trong tập lệnh PowerShell.

Phân tích sâu hơn về tên miền của tác nhân đe dọa đã tiết lộ rằng nó hoạt động như một nền tảng dàn dựng cho Atomic macOS Stealer (AMOS), cho thấy một phương pháp tiếp cận đa nền tảng.

"Bằng cách khai thác cấu trúc cam kết của GitHub và tận dụng Google Ads, kẻ tấn công có thể bắt chước các kho lưu trữ phần mềm hợp pháp một cách thuyết phục và chuyển hướng người dùng đến các phần mềm độc hại – vượt qua cả sự giám sát của người dùng và hệ thống phòng thủ điểm cuối", Arctic Wolf.

Tiết lộ này được đưa ra khi Acronis trình bày chi tiết về quá trình phát triển liên tục của chiến dịch ConnectWise ScreenConnect bị trojan hóa sử dụng phần mềm truy cập từ xa để thả AsyncRAT, PureHVNC RAT và trojan truy cập từ xa (RAT) dựa trên PowerShell tùy chỉnh trên các máy chủ bị nhiễm trong các cuộc tấn công kỹ thuật xã hội nhằm vào các tổ chức của Hoa Kỳ kể từ tháng 3 năm 2025.

PowerShell RAT tùy chỉnh, được thực thi thông qua tệp JavaScript được tải xuống từ máy chủ ScreenConnect đã bị bẻ khóa, cung cấp một số chức năng cơ bản như chạy chương trình, tải xuống và thực thi tệp, cùng cơ chế duy trì đơn giản.

"Kẻ tấn công hiện sử dụng trình cài đặt ClickOnce cho ScreenConnect, vốn thiếu cấu hình nhúng và thay vào đó tải các thành phần khi chạy", nhà cung cấp bảo mật cho biết. "Sự phát triển này khiến các phương pháp phát hiện tĩnh truyền thống kém hiệu quả hơn và làm phức tạp việc phòng ngừa, khiến các bên bảo vệ có ít lựa chọn đáng tin cậy hơn."