Mạng botnet Emotet khét tiếng có liên quan đến một làn sóng chiến dịch malspam mới lợi dụng các tệp lưu trữ được bảo vệ bằng mật khẩu để loại bỏ CoinMiner và Quasar RAT trên các hệ thống bị xâm phạm.
Trong một chuỗi tấn công do các nhà nghiên cứu của Trustwave SpiderLabs phát hiện, một tệp ZIP theo chủ đề hóa đơn được phát hiện có chứa tệp lưu trữ tự giải nén (SFX) lồng nhau, tệp lưu trữ đầu tiên hoạt động như một đường dẫn để khởi chạy tệp thứ hai.
Mặc dù các cuộc tấn công lừa đảo như thế này theo truyền thống yêu cầu thuyết phục mục tiêu mở tệp đính kèm, công ty an ninh mạng cho biết chiến dịch vượt qua rào cản này bằng cách sử dụng một tệp hàng loạt để tự động cung cấp mật khẩu để mở khóa tải trọng.
Tệp lưu trữ SFX đầu tiên tiếp tục sử dụng biểu tượng PDF hoặc Excel để làm cho tệp này có vẻ hợp pháp, trong thực tế, nó chứa ba thành phần: tệp SFX RAR thứ hai được bảo vệ bằng mật khẩu, tập lệnh loạt nói trên khởi chạy tệp lưu trữ và một tệp PDF hoặc hình ảnh mồi nhử.
“Việc thực thi tệp hàng loạt dẫn đến việc cài đặt phần mềm độc hại ẩn trong RARsfx được bảo vệ bằng mật khẩu [self-extracting RAR archive]”Các nhà nghiên cứu Bernard Bautista và Diana Lopera cho biết trong một bài viết hôm thứ Năm.
Tập lệnh batch đạt được điều này bằng cách chỉ định mật khẩu của kho lưu trữ và thư mục đích mà tải trọng sẽ được trích xuất, ngoài việc khởi chạy lệnh hiển thị tài liệu thu hút nhằm che giấu hoạt động độc hại.
Cuối cùng, sự lây nhiễm lên đến đỉnh điểm khi thực thi CoinMiner, một công cụ khai thác tiền điện tử cũng có thể trở thành kẻ đánh cắp thông tin xác thực hoặc Quasar RAT, một trojan truy cập từ xa dựa trên .NET mã nguồn mở, tùy thuộc vào tải trọng được đóng gói trong kho lưu trữ.
Kỹ thuật tấn công bằng một cú nhấp chuột cũng đáng chú ý ở chỗ nó vượt qua rào cản mật khẩu một cách hiệu quả, cho phép các phần tử độc hại thực hiện một loạt các hành động như tấn công tiền điện tử, đào thải dữ liệu và ransomware.
Trustwave cho biết họ đã xác định được sự gia tăng các mối đe dọa được đóng gói trong các tệp ZIP được bảo vệ bằng mật khẩu, với khoảng 96% trong số này được phân phối bởi botnet Emotet.
Các nhà nghiên cứu cho biết: “Kho lưu trữ tự giải nén đã có từ lâu và giúp giảm bớt việc phân phối tệp giữa những người dùng cuối. “Tuy nhiên, nó gây ra rủi ro bảo mật vì nội dung tệp không dễ xác minh và nó có thể chạy các lệnh và tệp thực thi một cách âm thầm.”
