Tin tặc sử dụng kỹ thuật lậu HTML lén lút để phát tán phần mềm độc hại thông qua các trang web giả mạo Google
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại mới lợi dụng các trang Google Sites giả mạo và buôn lậu HTML để phân phối phần mềm độc hại thương mại có tên AZORult nhằm tạo điều kiện cho việc đánh cắp thông tin.
Nhà nghiên cứu cho biết trong một báo cáo được công bố vào tuần trước: “Nó sử dụng một kỹ thuật buôn lậu HTML không chính thống, trong đó tải trọng độc hại được nhúng vào một tệp JSON riêng biệt được lưu trữ trên một trang web bên ngoài”.
Chiến dịch lừa đảo chưa được quy cho một tác nhân hoặc nhóm đe dọa cụ thể. Công ty an ninh mạng mô tả nó có bản chất phổ biến, được thực hiện với mục đích thu thập dữ liệu nhạy cảm để bán chúng trên các diễn đàn ngầm.
AZORult, còn được gọi là PuffStealer và Ruzalto, là một kẻ đánh cắp thông tin được phát hiện lần đầu tiên vào khoảng năm 2016. Nó thường được phân phối thông qua các chiến dịch lừa đảo và malspam, trình cài đặt trojan dành cho phần mềm hoặc phương tiện lậu và quảng cáo độc hại.
Sau khi cài đặt, nó có khả năng thu thập thông tin xác thực, cookie và lịch sử từ trình duyệt web, ảnh chụp màn hình, tài liệu khớp với danh sách các tiện ích mở rộng cụ thể (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX và .KDBX), và dữ liệu từ 137 ví tiền điện tử. Tệp AXX là các tệp được mã hóa do AxCrypt tạo, trong khi KDBX đề cập đến cơ sở dữ liệu mật khẩu được tạo bởi trình quản lý mật khẩu KeePass.
Hoạt động tấn công mới nhất liên quan đến việc kẻ đe dọa tạo các trang Google Tài liệu giả mạo trên Google Sites, sau đó sử dụng lậu HTML để phân phối tải trọng.
HTML Smuggling là tên được đặt cho một kỹ thuật lén lút trong đó các tính năng HTML5 và JavaScript hợp pháp bị lạm dụng để lắp ráp và khởi chạy phần mềm độc hại bằng cách "buôn lậu" một tập lệnh độc hại được mã hóa.
Do đó, khi khách truy cập bị lừa mở trang lừa đảo từ email lừa đảo, trình duyệt sẽ giải mã tập lệnh và trích xuất tải trọng trên thiết bị chủ, bỏ qua các biện pháp kiểm soát bảo mật điển hình như cổng email vốn chỉ kiểm tra các tệp đính kèm đáng ngờ một cách hiệu quả.
Chiến dịch AZORult nâng cách tiếp cận này lên một tầm cao hơn bằng cách thêm rào cản CAPTCHA, một cách tiếp cận không chỉ mang lại vẻ ngoài hợp pháp mà còn đóng vai trò như một lớp bảo vệ bổ sung chống lại máy quét URL.
Tệp đã tải xuống là tệp lối tắt Windows (.LNK) giả mạo dưới dạng bản sao kê ngân hàng PDF, khởi chạy một loạt hành động để thực thi một loạt tập lệnh PowerShell và lô trung gian từ một miền đã bị xâm phạm.
Một trong các tập lệnh PowerShell ("agent3.ps1") được thiết kế để tìm nạp trình tải AZORult ("service.exe"), sau đó tải xuống và thực thi một tập lệnh PowerShell khác ("sd2.ps1") có chứa phần mềm độc hại đánh cắp.
Michael Alcantara cho biết: “Nó thực thi trình đánh cắp thông tin AZORult không cần tập tin một cách lén lút bằng cách sử dụng tải mã phản chiếu, bỏ qua việc phát hiện dựa trên đĩa và giảm thiểu các tạo tác”. "Nó sử dụng kỹ thuật bỏ qua AMSI để tránh bị phát hiện bởi nhiều sản phẩm chống phần mềm độc hại dựa trên máy chủ, bao gồm cả Windows Defender."
"Không giống như các tệp lậu thông thường mà blob đã có sẵn bên trong mã HTML, chiến dịch này sao chép tải trọng được mã hóa từ một trang web bị xâm nhập riêng biệt. Việc sử dụng các miền hợp pháp như Google Sites có thể giúp lừa nạn nhân tin rằng liên kết là hợp pháp."
Các phát hiện này được đưa ra khi Cofense tiết lộ việc các tác nhân đe dọa sử dụng các tệp SVG độc hại trong các chiến dịch gần đây để phổ biến Đặc vụ Tesla và XWorm bằng cách sử dụng một chương trình nguồn mở có tên AutoSmuggle nhằm đơn giản hóa quá trình tạo các tệp HTML hoặc SVG lậu.
Công ty giải thích: AutoSmuggle "lấy một tệp như exe hoặc kho lưu trữ và 'chuyển lậu' nó vào tệp SVG hoặc HTML để khi tệp SVG hoặc HTML được mở, tệp 'bị lậu' sẽ được gửi đi".
Các chiến dịch lừa đảo cũng đã được quan sát thấy bằng cách sử dụng các tệp lối tắt được đóng gói trong các tệp lưu trữ để truyền bá LokiBot, một công cụ đánh cắp thông tin tương tự như AZORult với các tính năng thu thập dữ liệu từ trình duyệt web và ví tiền điện tử.
“Tệp LNK thực thi tập lệnh PowerShell để tải xuống và thực thi trình tải LokiBot có thể thực thi được từ một URL. Phần mềm độc hại LokiBot đã được phát hiện bằng cách sử dụng kỹ thuật steganography hình ảnh, đóng gói nhiều lớp và kỹ thuật live-off-the-land (LotL) trong các chiến dịch trước đây,” SonicWall tiết lộ vào tuần trước.
Trong một trường hợp khác được Docguard nêu bật, các tệp lối tắt độc hại đã được phát hiện để bắt đầu một loạt tải xuống tải trọng và cuối cùng triển khai phần mềm độc hại dựa trên AutoIt.
Đó chưa phải là tất cả. Người dùng ở khu vực Mỹ Latinh đang trở thành mục tiêu của một chiến dịch đang diễn ra, trong đó những kẻ tấn công mạo danh các cơ quan chính phủ Colombia để gửi những email bị gài bẫy kèm theo các tài liệu PDF cáo buộc người nhận vi phạm luật lệ giao thông.
Hiện diện trong tệp PDF là một liên kết mà khi nhấp vào sẽ dẫn đến việc tải xuống tệp lưu trữ ZIP có chứa VBScript. Khi được thực thi, VBScript sẽ loại bỏ tập lệnh PowerShell chịu trách nhiệm tìm nạp một trong các trojan truy cập từ xa như AsyncRAT, njRAT và Remcos.
TIN CÙNG CHUYÊN MỤC
Các cuộc tấn công ransomware tiếp tục nh...
Các mối đe dọa an ninh mạng tại Việt Nam...
Nhóm tin tặc Lazarus khai thác lỗ hổng z...
Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...
Chiến dịch quảng cáo độc hại chiếm đoạt ...
Nghiên cứu mới tiết lộ lỗ hổng Spectre v...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Nhóm tin tặc Lazarus khai thác lỗ hổng zero-day tr...
- Hướng dẫn cài đặt và kích hoạt Kaspersky for Windo...
- Thông báo thời gian kì nghỉ công ty năm 2024
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Hướng dẫn cài đặt và kích hoạt Kaspersky for Windo...