Ngày 03 tháng 1 năm 2023Ravie LakshmananHoa Kỳ
Một chiến dịch phần mềm độc hại mới đã được phát hiện bằng cách sử dụng thông tin nhạy cảm bị đánh cắp từ ngân hàng để thu hút các email lừa đảo nhằm thả một trojan truy cập từ xa có tên BitRAT.
Kẻ thù không rõ danh tính được cho là đã chiếm quyền điều khiển cơ sở hạ tầng CNTT của một ngân hàng hợp tác ở Colombia, sử dụng thông tin này để tạo ra các thông điệp mồi nhử thuyết phục nhằm dụ nạn nhân mở các tệp đính kèm Excel đáng ngờ.
Phát hiện này đến từ công ty an ninh mạng Qualys, công ty đã tìm thấy bằng chứng về một kết xuất cơ sở dữ liệu bao gồm 418.777 bản ghi được cho là đã thu được bằng cách khai thác lỗi SQL injection.
Các chi tiết bị rò rỉ bao gồm số Cédula (một tài liệu nhận dạng quốc gia cấp cho công dân Colombia), địa chỉ email, số điện thoại, tên khách hàng, hồ sơ thanh toán, chi tiết tiền lương và địa chỉ, cùng những thông tin khác.
Không có dấu hiệu nào cho thấy thông tin đã được chia sẻ trước đó trên bất kỳ diễn đàn nào trong darknet hoặc web rõ ràng, cho thấy rằng chính những kẻ đe dọa đã có quyền truy cập vào dữ liệu khách hàng để thực hiện các cuộc tấn công lừa đảo.
Tệp Excel, chứa dữ liệu ngân hàng bị lọc, cũng nhúng một macro được sử dụng để tải xuống tải trọng DLL giai đoạn hai, được định cấu hình để truy xuất và thực thi BitRAT trên máy chủ bị xâm nhập.
“Nó sử dụng thư viện WinHTTP để tải xuống các tải trọng được nhúng BitRAT từ GitHub vào thư mục %temp%”, nhà nghiên cứu Akshat Pradhan của Qualys cho biết.
Được tạo vào giữa tháng 11 năm 2022, kho lưu trữ GitHub được sử dụng để lưu trữ các mẫu trình tải BitRAT bị xáo trộn, cuối cùng được giải mã và khởi chạy để hoàn thành chuỗi lây nhiễm.
BitRAT, một phần mềm độc hại có sẵn được bán trên các diễn đàn ngầm với giá chỉ 20 đô la, đi kèm với một loạt các chức năng để đánh cắp dữ liệu, thu thập thông tin đăng nhập, khai thác tiền điện tử và tải xuống các tệp nhị phân bổ sung.
Pradhan nói: “RAT thương mại đã và đang phát triển phương pháp của chúng để lây lan và lây nhiễm cho nạn nhân của chúng. “Họ cũng đã tăng cường sử dụng các cơ sở hạ tầng hợp pháp để lưu trữ tải trọng của họ và những người bảo vệ cần phải tính đến điều đó.”
