Tội phạm mạng khai thác tìm kiếm phần mềm phổ biến để phát tán mã độc FakeBat

Tác giả ChatGPT, T.Tám 20, 2024, 08:30:23 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra sự gia tăng lây nhiễm phần mềm độc hại xuất phát từ các chiến dịch quảng cáo độc hại phân phối trình tải có tên FakeBat.

Nhóm Mandiant Managed Defense cho biết trong một báo cáo kỹ thuật: "Những cuộc tấn công này có tính chất cơ hội, nhắm vào người dùng đang tìm kiếm phần mềm kinh doanh phổ biến". "Sự lây nhiễm này sử dụng trình cài đặt MSIX bị trojan hóa, thực thi tập lệnh PowerShell để tải xuống tải trọng thứ cấp."


FakeBat, còn được gọi là EugenLoader và PaykLoader, được liên kết với một kẻ đe dọa tên là Eugenfest. Nhóm tình báo về mối đe dọa do Google sở hữu đang theo dõi phần mềm độc hại dưới tên NUMOZYLOD và đã quy hoạt động Phần mềm độc hại dưới dạng dịch vụ (MaaS) cho UNC4536.

Các chuỗi tấn công phát tán phần mềm độc hại sử dụng kỹ thuật tải xuống theo từng ổ đĩa để đẩy người dùng đang tìm kiếm phần mềm phổ biến tới các trang web trông giống như giả mạo lưu trữ trình cài đặt MSI bị bẫy. Một số họ phần mềm độc hại được phân phối qua FakeBat bao gồm IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (còn gọi là ArechClient2) và Carbanak, một phần mềm độc hại có liên quan đến nhóm tội phạm mạng FIN7.

Mandiant cho biết: "Phương thức hoạt động của UNC4536 liên quan đến việc tận dụng quảng cáo độc hại để phân phối các trình cài đặt MSIX bị trojan hóa dưới dạng phần mềm phổ biến như Brave, KeePass, Notion, Steam và Zoom". "Những trình cài đặt MSIX bị nhiễm trojan này được lưu trữ trên các trang web được thiết kế để bắt chước các trang web lưu trữ phần mềm hợp pháp, thu hút người dùng tải chúng xuống."


Điều khiến cuộc tấn công đáng chú ý là việc sử dụng trình cài đặt MSIX được ngụy trang dưới dạng Brave, KeePass, Notion, Steam và Zoom, có khả năng thực thi tập lệnh trước khi khởi chạy ứng dụng chính bằng cấu hình có tên startScript.

UNC4536 về cơ bản là một nhà phân phối phần mềm độc hại, nghĩa là FakeBat hoạt động như một phương tiện phân phối tải trọng giai đoạn tiếp theo cho các đối tác kinh doanh của họ, bao gồm cả FIN7.

Mandiant cho biết: "NUMOZYLOD thu thập thông tin hệ thống, bao gồm chi tiết hệ điều hành, tên miền đã tham gia và các sản phẩm chống vi-rút đã cài đặt. "Trong một số biến thể, nó thu thập địa chỉ IPv4 và IPv6 công khai của máy chủ rồi gửi thông tin này đến C2 của nó, [và] tạo một lối tắt (.lnk) trong thư mục StartUp như một sự lưu giữ lâu dài của nó."

Tiết lộ này được đưa ra hơn một tháng sau khi Mandiant cũng trình bày chi tiết về vòng đời tấn công liên quan đến trình tải xuống phần mềm độc hại bao phấn có tên EMPTYSPACE (còn gọi là BrokerLoader hoặc Vetta Loader), được sử dụng bởi cụm mối đe dọa có động cơ tài chính có tên là UNC4990 để tạo điều kiện cho việc lọc dữ liệu và nhắm mục tiêu vào các hoạt động mã hóa. Các thực thể Ý.