Tin tặc triển khai một trình đóng gói mới để tránh bị phát hiện


Một trình đóng gói phần mềm độc hại chưa từng ghi lại trước đây có tên DTPacker đã bị phát hiện phân phối nhiều trojan truy cập từ xa (RATs) và trình đánh cắp thông tin, bao gồm Agent Tesla, Ave Maria, AsyncRAT, và FormBook, để đánh cắp thông tin và mở đường cho các cuộc tấn công tiếp theo.



Trong một bài phân tích công bố hôm thứ Hai, công ty bảo mật doanh nghiệp Proofpoint cho biết: “Phần mềm độc hại sử dụng nhiều kỹ thuật làm xáo trộn để tránh phần mềm chống vi-rút, sandboxing và phân tích. Phần mềm này có thể được phát tán trên các diễn đàn ngầm.”



Kể từ năm 2021, phần mềm độc hại phổ biến dựa trên .NET đã liên kết với hàng chục chiến dịch và nhiều nhóm mối đe dọa, các cuộc tấn công có chủ đích (APT) lẫn các tác nhân tội phạm mạng, với các cuộc xâm nhập nhằm vào hàng trăm khách hàng thuộc nhiều lĩnh vực.



Các chuỗi tấn công liên quan đến một trình đóng gói sử dụng các email lừa đảo làm vectơ lây nhiễm đầu tiên. Các email này chứa tài liệu hoặc tệp đính kèm độc hại. Khi mở các tài liệu này, trình đóng gói sẽ được triển khai để khởi chạy phần mềm độc hại.



Trình đóng gói khác với trình tải xuống ở chỗ, trình đóng gói mang các payload bị xáo trộn để che giấu hành vi thực sự của chúng trước các giải pháp bảo mật bằng cách hoạt động như “một áo giáp để bảo vệ hệ nhị phân” và cản trở công nghệ đảo ngược (reverse engineering).



Điều làm DTPacker trở nên khác biệt là phần mềm này vận hành theo cả hai cách. Tên của DTPacker bắt nguồn từ việc phần mềm này đã sử dụng hai khóa cố định theo chủ đề Donald Trump – “trump2020” và “Trump2026” – để giải mã tài nguyên được nhúng hoặc tải xuống rồi sau cùng là trích xuất và thực thi payload cuối cùng.



Hiện vẫn chưa lý giải được tại sao các tác giả cho rằng tên phần mềm có liên quan đến cựu tổng thống Hoa Kỳ vì phần mềm độc hại này không được sử dụng để nhắm đến các chính trị gia hoặc tổ chức chính trị, cũng như không phải là yếu tố chính bị các nạn nhân phát hiện.



Proofpoint cho biết họ đã phát hiện những kẻ tấn công thực hiện những thay đổi tinh vi bằng cách chuyển sang sử dụng các trang web của câu lạc bộ hâm mộ bóng đá làm mồi nhử để lưu trữ phần mềm độc hại từ tháng 3 năm 2021, với trình đóng gói được các nhóm như TA2536 và TA2715 sử dụng trong các chiến dịch của riêng họ vào năm 2020.



Các nhà nghiên cứu cho biết: “Việc sử dụng DTPacker với tư cách là trình đóng gói lẫn trình tải xuống và sự biến đổi của phần mềm này trong việc phân phối và giải mã trong khi duy trì hai chìa khóa duy nhất này trong quá trình giải mã là rất bất thường”. Các nhà nghiên cứu này dự đoán phần mềm độc hại sẽ được sử dụng bởi nhiều tác nhân đe dọa trong tương lai.



Theo The Hacker News
The post Tin tặc triển khai một trình đóng gói mới để tránh bị phát hiện appeared first on SecurityDaily .

Top News