Các nhà nghiên cứu an ninh mạng vừa phát hiện một cách tấn công tinh vi sử dụng email chứa hóa đơn giả để phát tán nhiều loại mã độc nguy hiểm, bao gồm Venom RAT, Remcos RAT, XWorm, NanoCore RAT và một phần mềm đánh cắp thông tin nhắm vào các ví tiền điện tử.
Theo báo cáo kỹ thuật từ Fortinet FortiGuard Labs, các email này đính kèm các tập tin SVG (Scalable Vector Graphics). Khi người dùng nhấp vào chúng, họ sẽ kích hoạt chuỗi lây nhiễm.
Điểm đáng chú ý của cuộc tấn công này là việc sử dụng công cụ che giấu mã độc BatCloak và ScrubCrypt để phát tán mã độc dưới dạng các tập lệnh đã được làm rối.
BatCloak đã được rao bán cho các nhóm tin tặc từ cuối năm 2022. Nó được phát triển dựa trên một công cụ khác có tên Jlaive. Chức năng chính của nó là qua mặt các cơ chế phát hiện truyền thống để tải mã độc của giai đoạn tiếp theo trong một tấn công.
ScrubCrypt là một công cụ mã hóa lần đầu tiên được Fortinet ghi nhận vào tháng 3 năm 2023 khi nó liên quan đến chiến dịch đào tiền ảo do nhóm 8220 Gang thực hiện. Theo nghiên cứu từ Trend Micro năm ngoái, đây là một trong những biến thể của BatCloak.
Trong chiến dịch mới nhất được phân tích bởi các chuyên gia an ninh mạng, tập tin SVG đóng vai trò là phương tiện để thả một tập tin ZIP chứa tập lệnh được tạo bằng BatCloak. Vai trò của chúng là cuối cùng sẽ giải nén tập lệnh ScrubCrypt để chạy mã độc Venom RAT. Nhưng trước đó, chúng sẽ thực hiện các bước để tăng khả năng tồn tại trên máy nạn nhân và vượt qua các biện pháp bảo vệ AMSI và ETW.
Venom RAT là một biến thể của Quasar RAT. Nó cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị xâm nhập, thu thập thông tin nhạy cảm và thực thi các lệnh nhận được từ máy chủ điều khiển và kiểm soát (C2).
Chuyên gia nghiên cứu bảo mật Cara Lin cho biết: "Mặc dù chương trình chính của Venom RAT có vẻ đơn giản, nhưng nó có khả năng duy trì liên lạc với máy chủ C2 để có được các công cụ bổ sung cho các hoạt động khác nhau." Việc này bao gồm Venom RAT v6.0.3 với khả năng nghe lén bàn phím, NanoCore RAT, XWorm và Remcos RAT.
Lin nói thêm: "[Remcos RAT] được phân phối từ C2 của VenomRAT bằng ba phương pháp: một chương trình VBS được làm rối có tên 'remcos.vbs,' ScrubCrypt và GuLoader PowerShell."
Cũng được phân phối bằng hệ thống plugin là một phần mềm đánh cắp thông tin có khả năng thu thập và gửi thông tin hệ thống và dữ liệu của các ví tiền điện tử và các ứng dụng (như Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty, Zcash, Foxmail và Telegram) đến một máy chủ từ xa.
Lin cho biết: "Phân tích này cho thấy một cuộc tấn công tinh vi sử dụng nhiều lớp kỹ thuật che giấu để phân phối và chạy VenomRAT thông qua ScrubCrypt."
"Những kẻ tấn công sử dụng nhiều phương pháp khác nhau, bao gồm email lừa đảo với tập đính kèm độc hại, các tập lệnh bị làm rối và Guloader PowerShell, để xâm nhập và tấn công các hệ thống nạn nhân. Hơn nữa, việc triển khai các plugin khác nhau chứng tỏ tính linh hoạt và khả năng thích ứng của chiến dịch tấn công này."
Theo The Hacker News.
