VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch lừa đảo mới phát tán một biến thể không có tệp mới của phần mềm độc hại thương mại đã biết có tên là Remcos RAT.

Nhà nghiên cứu Xiaopeng Zhang của Fortinet FortiGuard Labs cho biết trong một bài phân tích được công bố tuần trước rằng Remcos RAT "cung cấp cho người mua nhiều tính năng tiên tiến để điều khiển từ xa các máy tính của người mua".


"Tuy nhiên, kẻ tấn công đã lợi dụng Remcos để thu thập thông tin nhạy cảm từ nạn nhân và điều khiển máy tính của họ từ xa để thực hiện các hành vi độc hại tiếp theo."

Điểm khởi đầu của cuộc tấn công là một email lừa đảo sử dụng các mồi nhử có chủ đề đơn đặt hàng để thuyết phục người nhận mở tệp đính kèm Microsoft Excel.

Tài liệu Excel độc hại được thiết kế để khai thác lỗ hổng thực thi mã từ xa đã biết trong Office ( CVE-2017-0199, điểm CVSS: 7,8) để tải xuống tệp Ứng dụng HTML (HTA) ("cookienetbookinetcahce.hta") từ máy chủ từ xa ("192.3.220[.]22") và khởi chạy tệp này bằng mshta.exe.

Về phần mình, tệp HTA được bao bọc trong nhiều lớp mã JavaScript, Visual Basic Script và PowerShell để tránh bị phát hiện. Trách nhiệm chính của nó là truy xuất tệp thực thi từ cùng một máy chủ và thực thi tệp đó.

Sau đó, mã nhị phân tiếp tục chạy một chương trình PowerShell được che giấu khác, đồng thời áp dụng một loạt các kỹ thuật chống phân tích và chống gỡ lỗi để làm phức tạp các nỗ lực phát hiện. Ở bước tiếp theo, mã độc tận dụng quá trình rỗng để cuối cùng tải xuống và chạy Remcos RAT.

"Thay vì lưu tệp Remcos vào tệp cục bộ và chạy tệp đó, nó triển khai trực tiếp Remcos trong bộ nhớ của quy trình hiện tại", Zhang cho biết. "Nói cách khác, đây là phiên bản không có tệp của Remcos".

Remcos RAT được trang bị để thu thập nhiều loại thông tin khác nhau từ máy chủ bị xâm phạm, bao gồm siêu dữ liệu hệ thống và có thể thực hiện các lệnh do kẻ tấn công đưa ra từ xa thông qua máy chủ chỉ huy và điều khiển (C2).

Các lệnh này cho phép chương trình thu thập tệp, liệt kê và chấm dứt các tiến trình, quản lý các dịch vụ hệ thống, chỉnh sửa Windows Registry, thực thi các lệnh và tập lệnh, ghi lại nội dung clipboard, thay đổi hình nền máy tính của nạn nhân, bật camera và micrô, tải xuống các phần mềm bổ sung, ghi lại màn hình và thậm chí vô hiệu hóa đầu vào bàn phím hoặc chuột.


Tiết lộ này được đưa ra sau khi Wallarm tiết lộ rằng các tác nhân đe dọa đang lợi dụng API Docusign để gửi các hóa đơn giả có vẻ như thật nhằm đánh lừa người dùng nhẹ dạ cả tin và tiến hành các chiến dịch lừa đảo trên quy mô lớn.

Cuộc tấn công đòi hỏi phải tạo một tài khoản Docusign hợp pháp, trả phí cho phép kẻ tấn công thay đổi mẫu và sử dụng API trực tiếp. Sau đó, các tài khoản được sử dụng để tạo các mẫu hóa đơn được thiết kế đặc biệt bắt chước các yêu cầu ký điện tử tài liệu từ các thương hiệu nổi tiếng như Norton Antivirus.

Công ty cho biết : "Không giống như các vụ lừa đảo truyền thống dựa vào email giả mạo và liên kết độc hại, những vụ việc này sử dụng tài khoản và mẫu DocuSign thật để mạo danh các công ty có uy tín, khiến người dùng và các công cụ bảo mật trở nên bất ngờ".

"Nếu người dùng ký điện tử vào tài liệu này, kẻ tấn công có thể sử dụng tài liệu đã ký để yêu cầu thanh toán từ tổ chức bên ngoài DocuSign hoặc gửi tài liệu đã ký thông qua DocuSign đến bộ phận tài chính để thanh toán."

Các chiến dịch lừa đảo cũng được phát hiện sử dụng một chiến thuật phi truyền thống gọi là nối tệp ZIP để vượt qua các công cụ bảo mật và phân phối trojan truy cập từ xa tới mục tiêu.

Phương pháp này bao gồm việc thêm nhiều tệp ZIP vào một tệp duy nhất, điều này gây ra các vấn đề bảo mật do sự khác biệt trong cách các chương trình khác nhau như 7-Zip, WinRAR và Windows File Explorer giải nén và phân tích các tệp như vậy, do đó dẫn đến tình huống bỏ qua các phần mềm độc hại.

Perception Point lưu ý trong một báo cáo gần đây rằng: "Bằng cách khai thác những cách khác nhau mà trình đọc ZIP và trình quản lý lưu trữ xử lý các tệp ZIP được nối lại, kẻ tấn công có thể nhúng phần mềm độc hại nhắm mục tiêu cụ thể vào người dùng của một số công cụ nhất định".

"Những kẻ tấn công biết rằng các công cụ này thường bỏ sót hoặc không phát hiện ra nội dung độc hại ẩn trong các kho lưu trữ được nối tiếp, cho phép chúng phân phối dữ liệu mà không bị phát hiện và nhắm vào những người dùng sử dụng một chương trình cụ thể để làm việc với các kho lưu trữ."

Sự phát triển này cũng diễn ra khi một tác nhân đe dọa có tên Venture Wolf có liên quan đến các cuộc tấn công lừa đảo nhắm vào các lĩnh vực sản xuất, xây dựng, CNTT và viễn thông của Nga bằng MetaStealer, một nhánh của phần mềm độc hại RedLine Stealer.