Cảnh báo – Xuất hiện một malware mới xuất hiện đang lấy cắp mật khẩu của người dùng.



Một trình tải xuống một undocumented malware trước đây đã bị phát hiện trong các cuộc phishing attacks nhằm đánh cắp thông tin xác thực và các payloads độc hại khác.

Được mệnh danh là “Saint Bot”, malware này được kết luận là xuất hiện lần đầu tiên vào tháng 1 năm 2021, với dấu hiệu cho thấy nó đang được phát triển rất tích cực.

“Saint Bot là một trình tải xuống xuất hiện khá gần đây, và đang dần dần giành lại được đà phát triển. nhiều người đã quan sát thấy ​​là nó đã thả những “Stealer”(tức là Taurus Stealer) hoặc những trình tải khác (ví dụ), nhưng nó được thiết kế với mục đích là để phân phối bất kỳ loại malware nào khác “, Aleksandra” Hasherezade “Doniec, một nhà phân tích tình báo về mối đe dọa tại Malwarebytes, cho biết.

“Hơn nữa, Saint Bot sử dụng nhiều kỹ thuật, tuy nhiên nó không phải là điều gì đó mới lạ, nhưng cho thấy một số mức độ tinh vi khi xét đến diện mạo tương đối mới.”

Chuỗi lây nhiễm được phân tích bởi công ty an ninh mạng bắt đầu bằng một phishing email chứa tệp ZIP nhúng (“bitcoin.zip”) khẳng định là ví bitcoin, tuy nhiên trong khi trên thực tế đó là một tập lệnh PowerShell ngụy trang dưới vỏ bọc của tệp .LNK shorcut. Tập lệnh PowerShell này sau đó tải xuống malware ở giai đoạn tiếp theo, WindowsUpdate.exe executable, lần lượt, (InstallUtil.exe) executable là thứ hai, sau đó tải xuống thêm hai executable khác có tên là def.exe và putty.exe.

Mặc dù tập lệnh trước là tập lệnh batch script chịu trách nhiệm vô hiệu hóa Windows Defender, putty.exe chứa payload độc hại cuối cùng kết nối với command-and-control (C2) server để khai thác thêm.

Obfuscation hiện diện trong từng giai đoạn của quá trình lây nhiễm, cùng với các phương pháp anti-analysis được malware áp dụng, cho phép những hacker điều khiển malware khai thác các thiết bị mà chúng đã được cài đặt mà không gây ra bất kì sự chú ý nào.

Bên cạnh việc thực hiện “self defense checks” để xác minh sự hiện diện của Debugger  hoặc môi trường ảo, Saint Bot được thiết kế để không thực thi ở Romania và các quốc gia được chọn trong Commonwealth of Independent States (CIS), bao gồm Armenia, Belarus, Kazakhstan, Moldova, Nga và Ukraine.

Danh sách các lệnh được malware hỗ trợ bao gồm:

  • Tải xuống và thực thi các payload khác được truy xuất từ ​​C2 server.
  • Cập nhật bot malware.
  • Tự gỡ cài đặt khỏi máy bị xâm phạm.

Mặc dù những khả năng này dường như có vẻ rất ít, nhưng thực tế là Saint Bot có chức năng như một trình tải xuống malware, khiến nó trở nên đủ nguy hiểm.

Điều thú vị là các payload được lấy từ các tệp được lưu trữ trên Discord, chiến thuật ngày càng trở nên phổ biến giữa các hacker, những kẻ đang lạm dụng các chức năng thật của các nền tảng như vậy cho C2 communications, để lản tránh các biện pháp bảo mật và truyền đi các malware.

“Khi các tệp được tải lên và lưu trữ trong Discord CDN, chúng có thể được truy cập bằng URL CDN được mã hóa bởi bất kỳ hệ thống nào, bất kể là Discord đã được cài đặt hay chưa, đơn giản bằng cách lướt đến URL CDN nơi mà lưu trữ nội dung”, các nhà nghiên cứu từ Cisco Talos đã tiết lộ trong một phân tích vào đầu tuần này, do đó biến thể các phần mềm như Discord và Slack trở thành nơi béo bở để lưu trữ những nội dung độc hại.

“Saint Bot là một trình tải xuống “nhỏ” khác,” Hasherezade nói. “” [Nó] không giống như SmokeLoader, nhưng  khá mới và hiện đang được phát triển nhiều. Những kẻ đứng sau dường như có  kiến ​​thức về cách tạo ra malware, điều này đã minh chứng thông qua nhiều loại phương pháp khác nhau mà chúng áp dụng đã được sử dụng trên thực tế. Tuy nhiên, tất cả các kỹ thuật được triển khai đều khá nhiều người biết đến và khá thông thường, [và] cho đến nay vẫn chưa có nhiều điều đổi mới.”

nguồn: thehackernews.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật