Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Công cụ quản lý từ xa Chiến dịch phần mềm độc hại hai tải trọng

Chiến dịch phần mềm độc hại hai tải trọng

Đến năm Mezo năm Công cụ quản lý từ xa, Phần mềm quảng cáo
Dịch sang:

Một chiến dịch phần mềm độc hại mới được phát hiện đang thu hút sự chú ý đáng kể trong cộng đồng an ninh mạng do khả năng triển khai đồng thời hai mối đe dọa khác nhau. Một trình tải được mã hóa duy nhất được sử dụng để đưa cả Gh0st RAT và CloverPlus vào cùng một hệ thống bị xâm nhập.

Sự kết hợp này vừa hiếm gặp lại vừa mang tính chiến lược cao. Gh0st RAT cho phép điều khiển từ xa hoàn toàn máy tính bị nhiễm, trong khi CloverPlus tập trung vào thao túng hoạt động trình duyệt, chèn các thành phần quảng cáo và tạo doanh thu thông qua các cửa sổ bật lên gây khó chịu. Việc triển khai kép này cho phép các tác nhân đe dọa duy trì quyền truy cập trái phép liên tục trong khi kiếm tiền từ việc lây nhiễm theo thời gian thực.

Chiến dịch này nêu bật xu hướng ngày càng tăng về việc phân phối nhiều loại tải trọng cùng lúc, trong đó kẻ tấn công tối đa hóa hiệu quả hoạt động và lợi nhuận tài chính từ một lần xâm nhập duy nhất.

Chiến thuật che giấu: Giấu kín tải trọng

Phần mềm tải trọng cốt lõi của chiến dịch này được thiết kế để hoạt động bí mật. Nó nhúng hai gói dữ liệu được mã hóa vào phần tài nguyên của mình, sử dụng các kỹ thuật làm mờ để né tránh các cơ chế phát hiện truyền thống.

Quá trình thực thi bắt đầu với mô-đun phần mềm quảng cáo CloverPlus, được xác định là AdWare.Win32.CloverPlus và liên kết với một tệp thực thi có tên wiseman.exe. Thành phần này sửa đổi cài đặt khởi động trình duyệt và chèn các quảng cáo bật lên dai dẳng.

Tiếp theo, trình tải sẽ đánh giá đường dẫn thực thi của nó. Nếu nó không hoạt động từ thư mục %temp% của hệ thống, nó sẽ tạo một bản sao của chính nó ở đó trước khi tiếp tục. Giai đoạn tiếp theo bao gồm giải mã mô-đun máy khách Gh0st RAT, cũng được ẩn dưới dạng tài nguyên được mã hóa bên trong tệp nhị phân phần mềm độc hại.

Sau khi giải mã, phần mềm độc hại sẽ gán một tên tệp ngẫu nhiên cho dữ liệu cần giải mã và lưu trữ nó trong một thư mục có tên ngẫu nhiên nằm ở thư mục gốc của ổ C:\, điều này càng làm phức tạp thêm quá trình phát hiện và phân tích.

Sống dựa vào đất đai: Công cụ đáng tin cậy, ý đồ xấu xa

Để thực thi đoạn mã đã giải mã, phần mềm độc hại lợi dụng tiện ích hợp pháp của Windows là rundll32.exe. Cách tiếp cận này cho phép thực thi mã độc hại dưới vỏ bọc của một tiến trình hệ thống đáng tin cậy, làm giảm đáng kể khả năng kích hoạt các biện pháp phòng vệ an ninh.

Sau khi kích hoạt, Gh0st RAT bắt đầu thu thập thông tin về hệ thống bị xâm nhập bằng cách lấy các mã định danh duy nhất như địa chỉ MAC và số sê-ri ổ cứng. Những thông tin này được sử dụng để đăng ký nạn nhân vào hệ thống điều khiển và quản lý của kẻ tấn công, đảm bảo theo dõi và quản lý chính xác các máy chủ bị nhiễm.

Cơ chế duy trì: Đảm bảo quyền truy cập lâu dài

Duy trì quyền truy cập sau khi khởi động lại hệ thống là mục tiêu chính của chiến dịch này. Gh0st RAT đạt được khả năng duy trì hoạt động thông qua nhiều kỹ thuật được nhúng sâu trong hệ điều hành:

Chỉnh sửa khóa đăng ký Run của Windows để đảm bảo chương trình tự động chạy khi khởi động.
Đăng ký một DLL độc hại trong đường dẫn dịch vụ Truy cập Từ xa tại SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Các phương pháp này cấp cho phần mềm độc hại quyền truy cập cấp HỆ THỐNG mỗi khi dịch vụ liên quan được khởi chạy, loại bỏ nhu cầu tương tác thêm của người dùng và củng cố khả năng kiểm soát lâu dài.

Phát hiện và phòng thủ: Các dấu hiệu của sự xâm phạm

Chiến dịch này gây ảnh hưởng đáng kể đến cả cá nhân và tổ chức. Trong khi thành phần phần mềm quảng cáo làm gián đoạn chức năng trình duyệt và tăng nguy cơ tiếp xúc với quảng cáo độc hại, thì thành phần RAT cho phép đánh cắp dữ liệu, ghi lại thao tác bàn phím, vượt qua các rào cản bảo mật và duy trì quyền truy cập đặc quyền.

Các nhóm bảo mật cần luôn cảnh giác và theo dõi các dấu hiệu xâm phạm sau:

  • Việc thực thi rundll32.exe tải các DLL hoặc các phần mở rộng tệp không chuẩn từ các thư mục bất thường hoặc đáng ngờ.
  • Xử lý các hoạt động bắt nguồn từ thư mục %temp%
  • Thực hiện các sửa đổi trái phép đối với khóa Run trong Registry hoặc cấu hình dịch vụ RemoteAccess.
  • Sử dụng độ trễ dựa trên ping để né tránh phát hiện trong môi trường sandbox.
  • Các mẫu lưu lượng DNS bất thường và những thay đổi không mong muốn đối với tệp hosts của hệ thống.

Việc chủ động giám sát và phản ứng nhanh chóng đối với các tín hiệu này là rất quan trọng để giảm thiểu rủi ro do chiến dịch phần mềm độc hại kép tinh vi này gây ra.

xu hướng

Xác nhận email lừa đảo về cập nhật bảo mật quyền...

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu hành động khẩn cấp luôn cần được xử lý thận trọng. Tội phạm mạng thường ngụy trang các tin nhắn độc hại thành các thông báo hợp pháp để lợi dụng lòng tin và gây hoang mang. Điều cần thiết là phải nhận ra rằng các trò lừa đảo như email "Xác nhận cập nhật bảo mật quyền riêng tư mới" không liên quan đến bất kỳ công ty, tổ chức hoặc thực thể hợp pháp nào, bất kể chúng...

Xem nhiều nhất

Đang tải...