Phát hiện ra malware đánh cắp thông tin người dùng có khả năng lẩn trốn

Các tội phạm mạng đang sử dụng 1 trình tải về JavaScript mới để phân phối 8 loại malware trojan điều khiển từ xa (RAT) khác nhau nhằm giành quyền kiểm soát backdoor của những hệ thống Windows bị nhiễm, cũng như đánh cắp tên người dùng, mật khẩu và mọi dữ liệu nhạy cảm khác.

Các nhà nghiên cứu an ninh mạng tại HP Wolf Security đã tìm hiểu chi tiết về trình tải xuống này và gọi nó là RATDispenser.

Điểm khởi đầu cho các cuộc tấn công là một email lừa đảo có chứa 1 file văn bản đề cập về đơn đặt hàng sản phẩm. Nhấp vào file độc hại, hệ thống sẽ khởi chạy quá trình cài đặt malware RATDispenser. Để tránh bị phát hiện, quá trình tải về JavaScript ban đầu sẽ được xáo trộn bằng sự hỗ trợ của các chuỗi mã dài, giúp che dấu ý định độc hại của mình.

Sau khi được cài đặt, RATDispenser sẽ được sử dụng để phát tán nhiều loại malware khác nhau, bao gồm trojan, keylogger cũng như những trình đánh cắp thông tin. Tất cả chúng đều được tạo ra nhằm lấy cắp dữ liệu nhạy cảm từ người dùng.

Malware độc hại được phát tán thường xuyên nhất chính là STRRAT và WSHRAT, chiếm 4/5 mẫu được phân tích. Nhưng các dạng malware RATDispenser khác cũng được phát tán, bao gồm những trình trình đánh cắp thông tin xâm nhập như Adwind, Formbook, Remcos, Panda Stealer, GuLoader và Ratty.

Một số trojan này, như Panda Stealer, tương đối mới và chỉ vừa được phát hiện trong năm nay, trong khi những trojan khác, như WSHRAT, đã hoạt động trong nhiều năm.

Vào thời điểm công bố nghiên cứu, chỉ có 1 trong 10 công cụ chống virus (anti-virus) hiện có phát hiện được RATDispenser.

Nhà phân tích malware Patrick Schlapfer tại HP Wolf Security cho biết: “Điều đặc biệt đáng lo ngại là RATDispenser chỉ được phát hiện bởi khoảng 11% hệ thống chống virus, dẫn đến malware lén lút này có thể triển khai thành công trên thiết bị đầu cuối của nạn nhân trong hầu hết các trường hợp.”

“RAT và keylogger đặt ra 1 mối đe dọa thầm lặng, giúp những kẻ tấn công lấy được quyền truy cập backdoor vào các chiếc máy tính bị nhiễm và lấy cắp thông tin đăng nhập từ tài khoản doanh nghiệp hoặc thậm chí là ví tiền điện tử. Từ đây, tội phạm mạng có thể lấy dữ liệu nhạy cảm, nâng cao quyền truy cập của chúng, và trong một số trường hợp, chúng còn bán quyền truy cập này vào những nhóm ransomware.”

Để bảo vệ người dùng khỏi các cuộc tấn công từ RATDispenser và malware mà nó phát tán, các nhà nghiên cứu khuyên quản trị viên mạng nên kiểm tra các loại file đính kèm email nào được cổng email của họ cho phép và chặn những file thực thi không cần thiết, chẳng hạn như JavaScript hoặc VBScript.