Một phần mềm độc hại đánh cắp thông tin có tên là EvilExtractor mới xuất hiện trên thị trường chợ đen (Dark Web). Phần mềm này được quảng bá cung cấp tất cả các tính năng trong một phần mềm, được rao bán cho kẻ xấu với mục đích đánh cắp dữ liệu và tệp từ hệ thống Windows.
Nhà nghiên cứu FortiGuard Labs của Fortinet, Cara Lin cho biết ” Phần mềm bao gồm một số mô – đun, tất cả đều hoạt động qua dịch vụ FTP, chứa các chức năng kiểm tra môi trường và Anti-VM. Mục đích chính là đánh cắp dữ liệu trình duyệt và thông tin từ các điểm cuối bị xâm phạm, sau đó tải nó lên máy chủ FTP của kẻ tấn công.”
Fortinet cho biết họ đã quan sát thấy sự gia tăng các cuộc tấn công phát tán phần mềm độc hại vào tháng 3 năm 2023, với phần lớn nạn nhân ở Châu Âu và Hoa Kỳ.
Công cụ tấn công đang được rao bán bởi một kẻ có tên Kodex trên các diễn đàn tội phạm mạng như Cracked kể từ ngày 22 tháng 10 năm 2022. Nó liên tục được cập nhật và đóng gói trong nhiều mô-đun khác nhau để hút siêu dữ liệu hệ thống, mật khẩu và cookie từ các trình duyệt web khác nhau cũng như ghi lại các lần nhấn phím và thậm chí hoạt động như một phần mềm tống tiền bằng cách mã hóa các tệp trên hệ thống đích.
Phần mềm độc hại này cũng được cho là đã được sử dụng như một phần của chiến dịch email lừa đảo được công ty phát hiện vào ngày 30 tháng 3 năm 2023. Các email này dụ người nhận khởi chạy một tệp thực thi giả dạng tài liệu PDF với lý do xác nhận “chi tiết tài khoản” của họ.
Mã nhị phân “Account_Info.exe” là một chương trình Python bị xáo trộn được thiết kế để khởi chạy trình tải .NET sử dụng tập lệnh PowerShell được mã hóa Base64 để khởi chạy EvilExtractor. Phần mềm độc hại, ngoài việc thu thập tệp, còn có thể kích hoạt webcam và chụp ảnh màn hình.
Lin cho biết: “EvilExtractor đang được sử dụng như một công cụ đánh cắp thông tin toàn diện với nhiều tính năng độc hại, bao gồm cả phần mềm tống tiền. “Tập lệnh PowerShell của nó có thể tránh bị phát hiện trong trình tải .NET hoặc PyArmor. Trong một thời gian rất ngắn, nhà phát triển của nó đã cập nhật một số chức năng và tăng tính ổn định của nó.”
Mới đây, Secureworks cũng công bố thông tin về một chiến dịch quảng cáo phát tán malware và tấn công SEO (SEO poisoning), trong đó hacker nhắm tới phát tán mã độc Bumblebee thông qua các bản cài đặt phần mềm hợp pháp đã bị cài trojan.
Bumbleebee, được ghi lại lần đầu tiên cách đây một năm bởi Nhóm phân tích mối đe dọa của Google và Proofpoint , là một trình tải mô-đun chủ yếu lan truyền thông qua các kỹ thuật lừa đảo. Nó bị nghi ngờ là do các tác nhân liên quan đến hoạt động của phần mềm tống tiền Conti phát triển để thay thế cho BazarLoader.
Việc sử dụng đầu độc SEO và quảng cáo độc hại để chuyển hướng người dùng đang tìm kiếm các công cụ phổ biến như ChatGPT, Cisco AnyConnect, Citrix Workspace và Zoom tới các trang web giả mạo lưu trữ trình cài đặt bị nhiễm độc đã tăng đột biến trong những tháng gần đây sau khi Microsoft bắt đầu chặn macro theo mặc định khỏi các tệp Office được tải xuống từ trên mạng.
Trong một sự cố được công ty an ninh mạng mô tả, kẻ đe dọa đã sử dụng phần mềm độc hại Bumblebee để lấy điểm vào và di chuyển ngang sau ba giờ để triển khai Cobalt Strike và phần mềm truy cập từ xa hợp pháp như AnyDesk và Dameware. Cuộc tấn công cuối cùng đã bị phá vỡ trước khi nó chuyển sang giai đoạn ransomware cuối cùng.
“Để giảm thiểu điều này và các mối đe dọa tương tự, các tổ chức nên đảm bảo rằng các bản cập nhật và cài đặt phần mềm chỉ được tải xuống từ các trang web đã biết và đáng tin cậy,” Secureworks cho biết. “Người dùng không được có đặc quyền cài đặt phần mềm và chạy tập lệnh trên máy tính của họ.”
