Chiến dịch SEO mới lây lan hàng loạt Trojan dưới dạng phần mềm phổ biến
Một chiến dịch SEO (Search Engine Optimization) tối ưu hóa công cụ tìm kiếm đã bị phát hiện lạm dụng lòng tin của người dùng vào các phần mềm hợp pháp phổ biến để dụ dỗ người dùng tải xuống các phiên bản độc hại BATLOADER.
Các nhà nghiên cứu từ Mandiant cho biết trong một báo cáo được công bố trong tuần này: “Kẻ tấn công đã sử dụng các chủ đề “tải miễn phí các phần mềm cải thiện năng suất” ‘free productivity apps installation’ hoặc “tải miễn phí các công cụ phát triển phần mềm” ‘free software development tools installation’ như là những từ khóa SEO để lừa người dùng truy cập vào các trang web và tải các bộ cài đặt độc hại.
Trong các cuộc tấn công lợi dụng chiến dịch SEO này, kẻ tấn công tăng thứ hạng website có chứa phiên bản độc hại của các ứng dụng thường được người dùng tìm kiếm và tải về như TeamViewer, Visual Studio và Zoom.
Tập tin cài đặt được tải về cũng có chứa phần mềm hợp pháp nhưng đính kèm theo đó là một BATLOADER độc hại được thực thi trong quá trình cài đặt. Sau đó, phần mềm độc hại hoạt động như một bước đệm để hiểu sâu hơn về tổ chức của máy tính được nhắm mục tiêu bằng cách tải xuống các tệp thực thi ở giai đoạn tiếp theo truyền bá chuỗi lây nhiễm nhiều giai đoạn.
Một trong những tệp cài đặt đó là phiên bản đã bị giả mạo của một thành phần nội bộ bên trong Microsoft Windows được gắn thêm VBScript độc hại. Cuộc tấn công sau đó sử dụng một kỹ thuật được gọi là thực thi proxy nhị phân đã ký để chạy tệp DLL bằng tiện ích “Mshta.exe” hợp pháp.
Điều này dẫn đến việc thực thi mã VBScript, kích hoạt hiệu quả giai đoạn tiếp theo của cuộc tấn công, trong đó các tải trọng bổ sung như Atera Agent, Cobalt Strike Beacon và Ursnif được phân phối trong các giai đoạn sau để giúp thực hiện trinh sát từ xa, leo thang đặc quyền và thu thập thông tin xác thực .
Mandiant cũng chỉ ra sự trùng lặp của các cuộc tấn công với các kỹ thuật được áp dụng bởi băng đảng ransomware Conti, được công khai vào tháng 8 năm 2021. “Tại thời điểm này, do thông tin này được công bố rộng rãi, các tác nhân không liên kết khác có thể đang sao chép các kỹ thuật của họ các động cơ và mục tiêu của riêng mình, “các nhà nghiên cứu bảo mật cho biết.
