Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Tin tặc sử dụng hình ảnh để che giấu phần mềm độc hại,...

Tin tặc sử dụng hình ảnh để che giấu phần mềm độc hại, triển khai VIP Keylogger và 0bj3ctivity Stealer

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Theo Báo cáo thông tin chi tiết về mối đe dọa quý 3 năm 2024 của HP Wolf Security, tội phạm mạng đang đưa chiến thuật ẩn núp của mình lên một tầm cao mới bằng cách nhúng mã độc vào các tệp hình ảnh để phát tán phần mềm độc hại như VIP Keylogger và 0bj3ctivity Stealer. Các chiến dịch tinh vi này khai thác các nền tảng đáng tin cậy như Archive.org để phát tán phần mềm độc hại trong khi bỏ qua các phương pháp phát hiện truyền thống.

Cách thức tấn công: Phần mềm độc hại ẩn trong hình ảnh

Các chiến dịch bắt đầu bằng một email lừa đảo được thiết kế để lừa nạn nhân mở tệp đính kèm độc hại . Những email này thường bắt chước hóa đơn hoặc đơn đặt hàng để tạo dựng uy tín. Sau khi mở, tệp đính kèm sẽ kích hoạt một lỗ hổng bảo mật đã lỗi thời của Microsoft Equation Editor ( CVE-2017-11882 ) để tải xuống tệp VBScript.

Chuỗi tấn công

  1. Email lừa đảo : Nạn nhân nhận được email lừa đảo có chứa tệp đính kèm độc hại.
  2. Thực thi VBScript : VBScript đã tải xuống sẽ chạy một tập lệnh PowerShell.
  3. Truy xuất hình ảnh : PowerShell tải xuống hình ảnh từ Archive.org.
  4. Trích xuất mã độc hại : Hình ảnh chứa phần mềm độc hại được mã hóa Base64 được trích xuất và giải mã thành tệp thực thi .NET.
  5. Phân phối tải trọng : Trình tải .NET cài đặt tải trọng phần mềm độc hại cuối cùng.

Trong chiến dịch đầu tiên, phần tải trọng này là VIP Keylogger, một công cụ được thiết kế để ghi lại các lần nhấn phím, nội dung clipboard, ảnh chụp màn hình và thông tin xác thực. Trong chiến dịch thứ hai, phần tải trọng này là 0bj3ctivity Stealer, một phần mềm độc hại đánh cắp thông tin.

Bộ công cụ phần mềm độc hại làm giảm rào cản cho kẻ tấn công

Điểm tương đồng giữa hai chiến dịch cho thấy tội phạm mạng đang tận dụng các bộ công cụ phần mềm độc hại. Các bộ công cụ này hợp lý hóa quy trình tấn công, giảm bớt chuyên môn kỹ thuật cần thiết để thực hiện các chuỗi lây nhiễm phức tạp. Xu hướng này phản ánh sự gia tăng hàng hóa của tội phạm mạng, nơi các công cụ được xây dựng sẵn giúp ngay cả những kẻ tấn công mới vào nghề cũng có thể triển khai phần mềm độc hại dễ dàng hơn.

Các kỹ thuật bổ sung đang được sử dụng

HP Wolf Security cũng xác định việc buôn lậu HTML là một chiến thuật bổ sung. Trong phương pháp này, kẻ tấn công phân phối phần mềm độc hại như XWorm RAT bằng cách sử dụng các trình thả AutoIt ẩn trong các tệp HTML độc hại. Một số tệp này được báo cáo là được tạo bằng các công cụ GenAI, cho thấy trí tuệ nhân tạo đang được sử dụng để tăng cường phân phối và che giấu phần mềm độc hại.

GitHub Campaigns cung cấp Lumma Stealer

Một chiến dịch đáng chú ý khác liên quan đến việc sử dụng kho lưu trữ GitHub đóng vai trò là nguồn cung cấp gian lận và công cụ sửa đổi trò chơi điện tử. Các kho lưu trữ này bí mật phân phối phần mềm độc hại Lumma Stealer thông qua các trình thả dựa trên .NET, làm nổi bật cách kẻ tấn công khai thác các nền tảng phổ biến để nhắm mục tiêu vào người dùng không nghi ngờ.

Tại sao các cuộc tấn công dựa trên hình ảnh lại mang tính đe dọa

Nhúng phần mềm độc hại vào hình ảnh là một kỹ thuật được gọi là steganography, ẩn mã độc hại trong các tệp có vẻ vô hại. Phương pháp này bỏ qua nhiều hệ thống chống vi-rút, ít có khả năng kiểm tra kỹ các tệp hình ảnh. Việc sử dụng các nền tảng lưu trữ đáng tin cậy như Archive.org làm phức tạp thêm các nỗ lực phát hiện.

Chiến lược giảm thiểu cho các tổ chức

Để chống lại những mối đe dọa đang phát triển này, các tổ chức nên thực hiện các biện pháp sau:

  1. Bản vá các lỗ hổng đã biết : Xử lý các lỗ hổng phần mềm lỗi thời như CVE-2017-11882.
  2. Bật tính năng phát hiện mối đe dọa nâng cao : Sử dụng các giải pháp có khả năng phát hiện hành vi đáng ngờ của tệp và thuật ẩn chữ.
  3. Đào tạo nhân viên : Đào tạo nhân viên cách nhận biết email lừa đảo và tránh mở tệp đính kèm bất ngờ.
  4. Hạn chế quyền truy cập vào các nguồn đáng tin cậy : Hạn chế sử dụng nền tảng chia sẻ tệp cho các tên miền đã được chấp thuận.

Sự gia tăng của hàng hóa tội phạm mạng

Khi các bộ công cụ phần mềm độc hại trở nên dễ tiếp cận hơn, những kẻ tấn công ở mọi cấp độ kỹ năng đều có thể lắp ráp các chuỗi lây nhiễm hiệu quả. Việc tích hợp các công cụ AI vào quá trình tạo phần mềm độc hại càng làm tăng thêm thách thức cho những người bảo vệ an ninh mạng, khiến các cuộc tấn công trở nên đa dạng hơn và khó xác định hơn.

Những phát hiện của HP Wolf Security nhấn mạnh tính cấp thiết của việc đi trước các mối đe dọa đang phát triển này. Bằng cách áp dụng các chiến lược phòng thủ chủ động và giám sát các chiến thuật mới nổi, các tổ chức có thể bảo vệ mạng lưới của mình tốt hơn trước các chiến dịch tinh vi này.


Đang tải...