-
09/04/2020
-
93
-
600 bài viết
Xuất hiện trình tải JavaScript phân phối phần mềm độc hại
Gần đây, các nhà nghiên cứu của HP Threat Research phát hiện kẻ tấn công đang sử dụng một loại phần mềm độc hại JavaScript chưa từng được biết đến trước đây có chức năng như một bộ tải để phân phối một loạt các Trojan truy cập từ xa (RAT) và trình đánh cắp thông tin.
Trình tải này có tên "RATDispenser", được sử dụng với nhiệm vụ triển khai ít nhất tám họ phần mềm độc hại khác nhau vào năm 2021. Khoảng 155 mẫu phần mềm độc hại mới đã được phát hiện, dựa trên trên ba biến thể khác nhau, cho thấy kẻ tấn công đang tích cực phát triển thêm các mẫu phần mềm độc hại.
Nhà nghiên cứu bảo mật Patrick Schläpfer cho biết: “RATDispenser được sử dụng để đạt mục đích xâm nhập vào hệ thống trước khi phân phối phần mềm độc hại khác với khả năng thiết lập quyền kiểm soát thiết bị bị nhiễm. Tất cả các mã độc đều là RAT, được thiết kế để lấy cắp thông tin và cấp cho kẻ tấn công quyền kiểm soát các thiết bị của nạn nhân".
Quá trinh lây nhiễm bắt đầu với một email lừa đảo chứa tệp đính kèm độc hại được giả mạo dưới dạng tệp văn bản. Nhưng thực tế, tệp văn bản này là các mã JavaScript sử dụng kỹ thuật làm rối mã để ghi và thực thi tệp VBScript với mục đích tải xuống phần mềm độc hại trên máy bị nhiễm.
Khi một thiết bị bị nhiễm RATDispenser, nó sẽ tải xuống các phần mềm độc hại khác bao gồm STRRAT, WSHRAT (hay còn gọi là Houdini hoặc Hworm), AdWind (còn gọi là AlienSpy hoặc Sockrat), Formbook (còn gọi là xLoader), Remcos (còn gọi là Socmer), Panda Stealer, CloudEyE (còn gọi là GuLoader), và Ratty, với chức năng đánh cắp dữ liệu nhạy cảm và nhắm mục tiêu vào các ví tiền điện tử.
Schläpfer cho biết: "Sự đa dạng trong các họ phần mềm độc hại, đa phần trong số đó có thể được mua hoặc tải xuống miễn phí từ các thị trường chợ đen và liên tục trang bị thêm các tính năng mới, cho thấy rằng các kẻ đứng sau RATDispenser có thể đang hoạt động dưới hình thức kinh doanh mã độc cho thuê dưới dạng dịch vụ (Malware-as-a-Service)".
Theo: thehackernews
Trình tải này có tên "RATDispenser", được sử dụng với nhiệm vụ triển khai ít nhất tám họ phần mềm độc hại khác nhau vào năm 2021. Khoảng 155 mẫu phần mềm độc hại mới đã được phát hiện, dựa trên trên ba biến thể khác nhau, cho thấy kẻ tấn công đang tích cực phát triển thêm các mẫu phần mềm độc hại.
Nhà nghiên cứu bảo mật Patrick Schläpfer cho biết: “RATDispenser được sử dụng để đạt mục đích xâm nhập vào hệ thống trước khi phân phối phần mềm độc hại khác với khả năng thiết lập quyền kiểm soát thiết bị bị nhiễm. Tất cả các mã độc đều là RAT, được thiết kế để lấy cắp thông tin và cấp cho kẻ tấn công quyền kiểm soát các thiết bị của nạn nhân".
Quá trinh lây nhiễm bắt đầu với một email lừa đảo chứa tệp đính kèm độc hại được giả mạo dưới dạng tệp văn bản. Nhưng thực tế, tệp văn bản này là các mã JavaScript sử dụng kỹ thuật làm rối mã để ghi và thực thi tệp VBScript với mục đích tải xuống phần mềm độc hại trên máy bị nhiễm.
Khi một thiết bị bị nhiễm RATDispenser, nó sẽ tải xuống các phần mềm độc hại khác bao gồm STRRAT, WSHRAT (hay còn gọi là Houdini hoặc Hworm), AdWind (còn gọi là AlienSpy hoặc Sockrat), Formbook (còn gọi là xLoader), Remcos (còn gọi là Socmer), Panda Stealer, CloudEyE (còn gọi là GuLoader), và Ratty, với chức năng đánh cắp dữ liệu nhạy cảm và nhắm mục tiêu vào các ví tiền điện tử.
Schläpfer cho biết: "Sự đa dạng trong các họ phần mềm độc hại, đa phần trong số đó có thể được mua hoặc tải xuống miễn phí từ các thị trường chợ đen và liên tục trang bị thêm các tính năng mới, cho thấy rằng các kẻ đứng sau RATDispenser có thể đang hoạt động dưới hình thức kinh doanh mã độc cho thuê dưới dạng dịch vụ (Malware-as-a-Service)".
Theo: thehackernews