Các nhà nghiên cứu Cảnh báo về Chiến dịch Spam Nhắm mục tiêu Nạn nhân bằng Phần mềm độc hại SVCReady

Một làn sóng chiến dịch lừa đảo mới đã được quan sát thấy đang phát tán một phần mềm độc hại đã được ghi nhận trước đó có tên là SVCReady.

Patrick Schläpfer, một nhà phân tích mối đe dọa tại HP, cho biết: “Phần mềm độc hại này đáng chú ý với cách thức bất thường mà nó được gửi đến các PC mục tiêu – sử dụng shellcode ẩn trong các thuộc tính của tài liệu Microsoft Office”.

SVCReady được cho là đang trong giai đoạn phát triển ban đầu, với việc các tác giả đã cập nhật phần mềm độc hại nhiều lần vào tháng trước. Các dấu hiệu hoạt động đầu tiên có từ ngày 22 tháng 4 năm 2022.

Chuỗi lây nhiễm liên quan đến việc gửi tệp đính kèm tài liệu Microsoft Word tới các mục tiêu qua email có chứa macro VBA để kích hoạt việc triển khai các trọng tải độc hại.

Nhưng điểm khác biệt của chiến dịch này là thay vì sử dụng PowerShell hoặc MSHTA để truy xuất các tệp thực thi ở giai đoạn tiếp theo từ máy chủ từ xa, macro chạy shellcode được lưu trữ trong thuộc tính tài liệu, sau đó loại bỏ phần mềm độc hại SVCReady.

Ngoài việc đạt được sự bền bỉ trên máy chủ bị nhiễm bằng cách thực hiện nhiệm vụ theo lịch trình, phần mềm độc hại còn có khả năng thu thập thông tin hệ thống, chụp ảnh màn hình, chạy lệnh shell, cũng như tải xuống và thực thi các tệp tùy ý.

Điều này cũng bao gồm việc cung cấp RedLine Stealer như một trọng tải tiếp theo trong một trường hợp vào ngày 26 tháng 4 sau khi các máy ban đầu bị xâm nhập với SVCReady.

HP cho biết họ đã xác định được sự trùng lặp giữa tên tệp của các tài liệu thu hút và hình ảnh có trong các tệp được sử dụng để phân phối SVCReady và những tệp được sử dụng bởi một nhóm khác có tên TA551 (hay còn gọi là Hive0106 hoặc Shathak), nhưng không rõ liệu có phải cùng một tác nhân đe dọa hay không đằng sau chiến dịch mới nhất.

Schläpfer lưu ý: “Có thể chúng tôi đang nhìn thấy những đồ tạo tác do hai kẻ tấn công khác nhau đang sử dụng cùng một công cụ để lại. “Tuy nhiên, phát hiện của chúng tôi cho thấy rằng các mẫu tương tự và các trình tạo tài liệu tiềm năng đang được các tác nhân đằng sau các chiến dịch TA551 và SVCReady sử dụng.”

.