Ngày 18 tháng 1 năm 2023Ravie LakshmananĐe dọa mạng / Phần mềm độc hại
Một chiến dịch đang diễn ra có tên trái đất đang tận dụng các mồi nhử có chủ đề địa chính trị để cung cấp trojan truy cập từ xa NjRAT cho các nạn nhân trên khắp Trung Đông và Bắc Phi.
“Tác nhân đe dọa sử dụng các dịch vụ lưu trữ đám mây công cộng như tệp[.]fm và thất bại[.]lv để lưu trữ phần mềm độc hại, trong khi các máy chủ web bị xâm nhập phân phối NjRAT,” Trend Micro cho biết trong một báo cáo được công bố hôm thứ Tư.
Các email lừa đảo, thường được điều chỉnh theo sở thích của nạn nhân, được tải với các tệp đính kèm độc hại để kích hoạt quy trình lây nhiễm. Tệp này có dạng tệp lưu trữ Nội các Microsoft (CAB) chứa trình nhỏ giọt Visual Basic Script để triển khai tải trọng giai đoạn tiếp theo.
Ngoài ra, người ta nghi ngờ rằng các tệp được phân phối qua các nền tảng truyền thông xã hội như Facebook và Discord, trong một số trường hợp, thậm chí tạo tài khoản không có thật để phân phát quảng cáo trên các trang mạo danh các hãng tin tức hợp pháp.
Các tệp CAB, được lưu trữ trên các dịch vụ lưu trữ đám mây, cũng giả dạng các cuộc gọi thoại nhạy cảm để lôi kéo nạn nhân mở kho lưu trữ, chỉ để VBScript được thực thi, dẫn đến việc truy xuất một tệp VBScript khác che giấu chính nó dưới dạng tệp hình ảnh.
Về phần mình, VBScript giai đoạn hai tìm nạp từ một miền đã bị vi phạm một tập lệnh PowerShell chịu trách nhiệm tải trọng tải RAT vào bộ nhớ và thực thi nó.
NjRAT (hay còn gọi là Bladabindi), được phát hiện lần đầu tiên vào năm 2013, có vô số khả năng cho phép kẻ đe dọa thu thập thông tin nhạy cảm và giành quyền kiểm soát các máy tính bị xâm nhập.
Các nhà nghiên cứu kết luận: “Trường hợp này chứng minh rằng các tác nhân đe dọa sẽ tận dụng lưu trữ đám mây công cộng làm máy chủ tệp phần mềm độc hại, kết hợp với các kỹ thuật kỹ thuật xã hội thu hút tình cảm của mọi người, chẳng hạn như chủ đề địa chính trị khu vực làm mồi nhử, để lây nhiễm các nhóm mục tiêu”.
