VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch phần mềm độc hại mới phát tán các hiện vật Hijack Loader được ký bằng chứng chỉ ký mã hợp lệ.

Công ty an ninh mạng của Pháp HarfangLab, đơn vị phát hiện hoạt động này vào đầu tháng, cho biết chuỗi tấn công này nhằm mục đích triển khai một phần mềm đánh cắp thông tin có tên là Lumma.


Hijack Loader, còn được gọi là DOILoader, IDAT Loader và SHADOWLADDER, lần đầu tiên được phát hiện vào tháng 9 năm 2023. Các chuỗi tấn công liên quan đến trình tải phần mềm độc hại này thường liên quan đến việc lừa người dùng tải xuống tệp nhị phân có chứa bẫy dưới dạng phần mềm hoặc phim lậu.

Các biến thể gần đây của những chiến dịch này đã được phát hiện là hướng người dùng đến các trang CAPTCHA giả mạo yêu cầu người truy cập trang web chứng minh rằng họ là người bằng cách sao chép và chạy lệnh PowerShell được mã hóa để thả phần mềm độc hại dưới dạng tệp ZIP.

HarfangLab cho biết họ đã quan sát thấy ba phiên bản khác nhau của tập lệnh PowerShell bắt đầu từ giữa tháng 9 năm 2024 -

• Một tập lệnh PowerShell tận dụng mshta.exe để thực thi mã được lưu trữ trên máy chủ từ xa
• Một tập lệnh PowerShell được lưu trữ từ xa được thực thi trực tiếp thông qua lệnh ghép ngắn Invoke-Expression (hay còn gọi là iex)
• Một tập lệnh PowerShell sử dụng msiexec.exe để tải xuống và thực thi một tải trọng từ một URL từ xa

Về phần mình, tệp ZIP bao gồm một tệp thực thi chính hãng dễ bị tải DLL phụ và DLL độc hại (tức là Hijack Loader) sẽ được tải thay thế.

"Mục đích của HijackLoader DLL được tải bên ngoài là giải mã và thực thi một tệp được mã hóa được cung cấp trong gói", HarfangLab cho biết. "Tệp này che giấu giai đoạn HijackLoader cuối cùng, nhằm mục đích tải xuống và thực thi một bản cấy ghép đánh cắp".

Cơ chế phân phối được cho là đã thay đổi từ tải DLL sang sử dụng một số tệp nhị phân đã ký vào đầu tháng 10 năm 2024 nhằm tránh bị phần mềm bảo mật phát hiện.

Hiện tại vẫn chưa rõ liệu tất cả các chứng chỉ ký mã đều bị đánh cắp hay do chính những kẻ đe dọa tạo ra, mặc dù công ty an ninh mạng đã đánh giá với mức độ tin cậy từ thấp đến trung bình rằng có thể là trường hợp sau. Các chứng chỉ này đã bị thu hồi.

"Đối với một số cơ quan cấp chứng chỉ, chúng tôi nhận thấy rằng việc mua và kích hoạt chứng chỉ ký mã chủ yếu được tự động hóa và chỉ yêu cầu số đăng ký công ty hợp lệ cũng như người liên hệ", báo cáo cho biết. "Nghiên cứu này nhấn mạnh rằng phần mềm độc hại có thể được ký, nhấn mạnh rằng chữ ký mã không thể chỉ là chỉ số cơ sở về độ tin cậy".

Sự phát triển này diễn ra khi SonicWall Capture Labs cảnh báo về sự gia tăng các cuộc tấn công mạng lây nhiễm máy tính Windows bằng phần mềm độc hại có tên CoreWarrior.

"Đây là một loại trojan dai dẳng có khả năng lây lan nhanh chóng bằng cách tạo ra hàng chục bản sao của chính nó và tiếp cận nhiều địa chỉ IP, mở nhiều ổ cắm để truy cập từ xa và kết nối các thành phần giao diện người dùng Windows để theo dõi", báo cáo cho biết.

Các chiến dịch lừa đảo cũng đã được quan sát thấy phát tán phần mềm độc hại đánh cắp và tải hàng hóa được gọi là XWorm thông qua Tệp tập lệnh Windows (WSF), sau đó, tải xuống và thực thi một tập lệnh PowerShell được lưu trữ trên paste[.]ee.


Sau đó, tập lệnh PowerShell sẽ khởi chạy một tập lệnh Visual Basic, hoạt động như một kênh để thực thi một loạt các tập lệnh PowerShell và hàng loạt để tải một DLL độc hại có trách nhiệm đưa XWorm vào một quy trình hợp pháp ("RegSvcs.exe").

Phiên bản mới nhất của XWorm (phiên bản 5.6) bao gồm khả năng báo cáo thời gian phản hồi, thu thập ảnh chụp màn hình, đọc và sửa đổi tệp máy chủ của nạn nhân, thực hiện tấn công từ chối dịch vụ (DoS) vào mục tiêu và xóa các plugin đã lưu trữ, cho thấy nỗ lực tránh để lại dấu vết pháp y.

"XWorm là một công cụ đa năng có thể cung cấp nhiều chức năng cho kẻ tấn công", nhà nghiên cứu bảo mật Jan Michael Alcantara của Netskope Threat Labs cho biết.