Phần mềm độc hại CustomLoader
CustomerLoader là một chương trình đe dọa được thiết kế đặc biệt để tạo điều kiện lây nhiễm chuỗi trên các thiết bị được nhắm mục tiêu. Chức năng chính của nó là tải các thành phần và chương trình độc hại bổ sung lên các thiết bị bị xâm nhập, do đó làm tăng tác động của cuộc tấn công. Đáng chú ý, tất cả các trường hợp lây nhiễm CustomerLoader được xác định đã được phát hiện đều dựa trên Trojan trình tiêm DotRunpeX làm tải trọng giai đoạn đầu, mở đường cho việc triển khai tải trọng cuối cùng. Điều này đã dẫn đến sự gia tăng của hơn bốn mươi họ phần mềm độc hại khác nhau.
CustomLoader có thể được cung cấp trong Sơ đồ MaaS (Malware-as-a-Service)
Sự tồn tại của CustomerLoader lần đầu tiên được cộng đồng an ninh mạng chú ý vào tháng 6 năm 2023. Tuy nhiên, có dấu hiệu cho thấy phần mềm độc hại này đã hoạt động tích cực kể từ ít nhất là tháng 5 cùng năm, cho thấy khả năng có một khoảng thời gian hoạt động kéo dài trước khi bị phát hiện.
Với phạm vi phương pháp phân phối đa dạng được quan sát thấy với CustomerLoader, rất có khả năng các nhà phát triển đằng sau chương trình độc hại này cung cấp nó như một dịch vụ cho nhiều tác nhân đe dọa. Điều này ngụ ý rằng các nhóm tội phạm mạng hoặc nhóm hack khác nhau có thể tận dụng các khả năng của CustomerLoader, góp phần vào việc sử dụng rộng rãi nó trong các chiến dịch tấn công khác nhau.
Tội phạm mạng sử dụng phần mềm độc hại CustomLoader để cung cấp nhiều mối đe dọa có hại
CustomerLoader sử dụng nhiều kỹ thuật tinh vi để tránh bị các giải pháp bảo mật phát hiện và phân tích. Chương trình ngụy trang thành một ứng dụng hợp pháp, sử dụng mã bị xáo trộn để cản trở nỗ lực khám phá bản chất đe dọa của nó. Ngoài ra, CustomerLoader triển khai nhiều chiến thuật được thiết kế đặc biệt để vượt qua sự phát hiện của các công cụ chống vi-rút và các cơ chế bảo mật khác.
Sau khi xâm nhập thành công, CustomerLoader tiến hành tải DotRunpeX, phần mềm này hoạt động như một phần mềm độc hại kiểu tiêm chích. Bản thân DotRunpeX sử dụng một loạt các kỹ thuật chống phát hiện, làm phức tạp thêm việc xác định và giảm thiểu mối đe dọa.
Như đã đề cập trước đây, các chiến dịch CustomerLoader, được hỗ trợ thông qua DotRunpeX, đã được quan sát thấy là hỗ trợ hơn bốn mươi họ phần mềm độc hại khác nhau. Chúng bao gồm nhiều loại phần mềm độc hại như trình tải, Trojan truy cập từ xa (RAT), kẻ đánh cắp dữ liệu và phần mềm tống tiền.
Một số ví dụ đáng chú ý về tải trọng cuối cùng được liên kết với chiến dịch CustomerLoader (mặc dù không giới hạn ở những chiến dịch này) bao gồm Amadey , LgoogLoader, Agent Tesla , AsyncRAT , BitRAT , NanoCore , njRat , Quasar , Remcos , Sectop , Warzone , XWorm, DarkCloud, Formbook , Kraken , Lumma , Raccoon , RedLin , Stealc, StormKitty, Vida và, các biến thể WannaCry khác nhau, Tzw Ransomware và các loại khác.
Tóm lại, việc trở thành nạn nhân của việc lây nhiễm phần mềm độc hại có nguy cơ cao do CustomerLoader tạo điều kiện có thể dẫn đến những hậu quả đáng kể. Những điều này có thể bao gồm lỗi hoặc hiệu suất hệ thống bị tổn hại, mất dữ liệu, vi phạm quyền riêng tư nghiêm trọng, tổn thất tài chính và thậm chí là đánh cắp danh tính. Điều quan trọng đối với người dùng và tổ chức là triển khai các biện pháp bảo mật mạnh mẽ và luôn cảnh giác trước các mối đe dọa như vậy để bảo vệ hệ thống, dữ liệu và tình trạng kỹ thuật số nói chung của họ.
