Cảnh báo - Có một phần mềm độc hại mới xuất hiện đang lấy cắp mật khẩu của người dùng

Đăng nhận xét

Một trình tải xuống phần mềm độc hại không có giấy tờ trước đây đã bị phát hiện trong các cuộc tấn công lừa đảo nhằm triển khai những kẻ đánh cắp thông tin xác thực và các tải trọng độc hại khác.

Được mệnh danh là " Thánh Bot ", phần mềm độc hại này được cho là xuất hiện lần đầu tiên vào tháng 1 năm 2021, với dấu hiệu cho thấy nó đang được phát triển tích cực.

"Saint Bot là một trình tải xuống xuất hiện khá gần đây, và đang dần dần lấy lại được đà. Nó đã được chứng kiến ​​là đã thả những kẻ ăn cắp (tức là Kẻ trộm Kim Ngưu ) hoặc những trình tải khác ( ví dụ ), nhưng thiết kế của nó cho phép [nó] sử dụng nó để phân phối bất kỳ loại phần mềm độc hại nào ", Aleksandra" Hasherezade "Doniec, một nhà phân tích tình báo về mối đe dọa tại Malwarebytes, cho biết .

"Hơn nữa, Saint Bot sử dụng nhiều kỹ thuật, mặc dù không phải là mới lạ, nhưng cho thấy một số mức độ tinh vi khi xem xét vẻ ngoài tương đối mới của nó."

Saint Bot là một trình tải xuống xuất hiện khá gần đây,

Chuỗi lây nhiễm được phân tích bởi công ty an ninh mạng bắt đầu bằng một email lừa đảo chứa tệp ZIP nhúng ("bitcoin.zip") tuyên bố là ví bitcoin trong khi trên thực tế, đó là một tập lệnh PowerShell dưới vỏ bọc của tệp lối tắt .LNK. Tập lệnh PowerShell này sau đó tải xuống phần mềm độc hại ở giai đoạn tiếp theo, tệp thực thi WindowsUpdate.exe, lần lượt, tệp thực thi thứ hai (InstallUtil.exe) sẽ tải xuống hai tệp thực thi khác có tên là def.exe và putty.exe.

Mặc dù tập lệnh trước là tập lệnh lô chịu trách nhiệm vô hiệu hóa Windows Defender, putty.exe chứa tải trọng độc hại cuối cùng kết nối với máy chủ lệnh và điều khiển (C2) để khai thác thêm.

Sự xáo trộn hiện diện trong từng giai đoạn của quá trình lây nhiễm, cùng với các kỹ thuật chống phân tích được phần mềm độc hại áp dụng, cho phép những kẻ điều khiển phần mềm độc hại khai thác các thiết bị mà chúng đã được cài đặt mà không thu hút sự chú ý.

Bên cạnh việc thực hiện "kiểm tra tự vệ" để xác minh sự hiện diện của trình gỡ lỗi hoặc môi trường ảo, Saint Bot được thiết kế để không thực thi ở Romania và các quốc gia được chọn trong Cộng đồng các quốc gia độc lập (CIS), bao gồm Armenia, Belarus, Kazakhstan, Moldova , Nga và Ukraine.

Danh sách các lệnh được phần mềm độc hại hỗ trợ bao gồm:

  • tải xuống và thực thi các tải trọng khác được truy xuất từ ​​máy chủ C2
  • cập nhật phần mềm độc hại bot và
  • tự gỡ cài đặt khỏi máy bị xâm phạm

This PowerShell script then downloads the next stage malware, a WindowsUpdate.exe executable, which, in turn, drops a second executable (InstallUtil.exe) that takes care of downloading two more executables named def.exe and putty.exe

Mặc dù những khả năng này có vẻ rất nhỏ, nhưng thực tế là Saint Bot phục vụ như một trình tải xuống phần mềm độc hại khác khiến nó trở nên đủ nguy hiểm.

Điều thú vị là các tải trọng được lấy từ các tệp được lưu trữ trên Discord, một chiến thuật ngày càng trở nên phổ biến giữa các tác nhân đe dọa, những người đang lạm dụng các chức năng hợp pháp của các nền tảng như vậy để liên lạc C2, trốn tránh bảo mật và cung cấp phần mềm độc hại.

"Khi các tệp được tải lên và lưu trữ trong Discord CDN, chúng có thể được truy cập bằng URL CDN được mã hóa cứng bởi bất kỳ hệ thống nào, bất kể Discord đã được cài đặt hay chưa, đơn giản bằng cách duyệt đến URL CDN nơi lưu trữ nội dung", các nhà nghiên cứu từ Cisco Talos đã tiết lộ trong một phân tích vào đầu tuần này, do đó biến các phần mềm như Discord và Slack trở thành mục tiêu béo bở để lưu trữ nội dung độc hại.

"Saint Bot là một trình tải xuống nhỏ khác," Hasherezade nói. "" [Nó] không trưởng thành như SmokeLoader, nhưng nó khá mới và hiện đang được phát triển tích cực. Tác giả dường như có một số kiến ​​thức về thiết kế phần mềm độc hại, điều này có thể nhìn thấy được bằng một loạt các kỹ thuật được sử dụng. Tuy nhiên, tất cả các kỹ thuật được triển khai đều nổi tiếng và khá chuẩn, [và] cho đến nay vẫn chưa thể hiện nhiều tính sáng tạo."

Related Posts

Đăng nhận xét

Subscribe Our Newsletter