Phần mềm độc hại DarkWatchman mới lây lan qua email lừa đảo trên máy Windows: Những gì chúng ta biết cho đến nay

Phần mềm độc hại DarkWatchman mới lây lan qua email lừa đảo trên máy Windows: Những gì chúng ta biết cho đến nay
Phần mềm độc hại DarkWatchman mới lây lan qua email lừa đảo trên máy Windows: Những gì chúng ta biết cho đến nay

Một phần mềm độc hại mới, được lưu hành từ đầu tháng 11, đã được phát hiện bởi công ty an ninh mạng Prevailion. Công ty cảnh báo rằng phần mềm độc hại chiếm ít hoặc không có dung lượng trên hệ thống được nhắm mục tiêu và do đó rất khó phát hiện. Khi ở đúng vị trí, nó có thể thực hiện các lệnh từ xa và truyền dữ liệu có giá trị đến tác nhân đe dọa.

(Ảnh: Reuters)

ĐIỂM NỔI BẬT

  • DarkWatchman là phần mềm độc hại mới nhất được phát tán trong tệp đính kèm ZIP với email lừa đảo.
  • Nó sử dụng một loạt các cơ chế ẩn để tránh bị phát hiện.
  • Nó thậm chí có thể cài đặt nhiều tải trọng hơn trên một hệ thống bị nhiễm và cập nhật chúng từ xa.

Phần mềm độc hại mới đang được lưu hành bởi các nhóm độc hại cho phép các tác nhân đe dọa chạy các lệnh từ xa trên hệ thống mục tiêu. Được đặt tên là “DarkWatchman”, phần mềm độc hại này thậm chí có thể ngừng chạy và tự gỡ cài đặt khỏi hệ thống nếu nó phát hiện ra đang có nỗ lực tìm kiếm.

Phần mềm độc hại về cơ bản là một JavaScript RAT (Trojan truy cập từ xa) cũng chứa keylogger C #. Có nghĩa là đối với các cuộc tấn công lén lút vào một hệ thống, JavaScript RAT chỉ đo kích thước khoảng 32kb và sử dụng các tập lệnh đặc biệt cho phép nó hoạt động mà không bị phát hiện. Một khi nó lây nhiễm vào hệ thống, nó có khả năng chạy các lệnh từ xa để chuyển dữ liệu đến các tác nhân đe dọa.

Phần mềm độc hại đã được công khai trong một báo cáo mới của các nhà nghiên cứu tại Prevailion, một công ty tình báo mạng. Như đã nêu rõ trong một báo cáo của Bleeping Computer, cơ quan này phát hiện ra trojan đang được sử dụng bởi các nhóm tội phạm mạng Nga, chủ yếu nhắm vào các tổ chức của Nga. DarkWatchman lần đầu tiên được phát hiện trong email lừa đảo dưới dạng tệp đính kèm ZIP, được lưu hành từ đầu tháng 11.

Vì phần mềm độc hại sử dụng cơ chế ẩn để tránh những con mắt chú ý, nó được ngụy trang dưới dạng tài liệu văn bản trong tệp đính kèm ZIP. Những gì trông giống như một tệp văn bản trên thực tế là một tệp thực thi cài đặt RAT và keylogger trên hệ thống đích sau khi được mở. Đồng thời, nó hiển thị một thông báo popup mồi nhử “Định dạng không xác định”, trong khi nó bí mật cài đặt các tải trọng trên hệ thống ở chế độ nền.

DarkWatchman sử dụng cơ chế lưu trữ không sử dụng Windows Registry cho keylogger. Sau đó, sổ đăng ký được sử dụng như một nơi ẩn mã thực thi được mã hóa bên trong nó, cũng như một vị trí tạm thời cho dữ liệu bị đánh cắp bởi keylogger. Các tổ hợp phím đã ghi sau đó được truyền đến máy chủ C2, máy chủ điều khiển và kiểm soát hoặc máy tính của tội phạm mạng, sử dụng DGA (thuật toán tạo miền).

Báo cáo phân tích mối đe dọa đề cập rằng loại nhật ký dữ liệu này và quá trình truyền tải của chúng giúp DarkWatchman có khả năng phục hồi tốt hơn nhiều đối với bất kỳ loại giám sát nào. Khi đã ở đúng vị trí, trojan có thể thực hiện các lệnh từ xa của tác nhân đe dọa, tải nhiều trọng tải hơn vào hệ thống, cập nhật các tải trọng này và thậm chí tiến hành các thao tác lẩn tránh bằng cách xóa mọi nhật ký hoạt động của nó hoặc gỡ cài đặt hoàn toàn khỏi hệ thống.

Theo Prevailion, DarkWatchman có thể đã được sử dụng bởi các nhóm ransomware cho các thành viên kém năng lực của họ. Vì công cụ này rất khó bị phát hiện trên các hệ thống, nên nó có thể được sử dụng dễ dàng ngay cả bởi các tác nhân đe dọa thiếu kinh nghiệm nhằm vào các hệ thống mục tiêu và trích xuất thông tin có giá trị.

Nhấp vào đây để biết toàn bộ thông tin về đại dịch coronavirus của IndiaToday.in.

Nếu thấy hữu ích thì hãy chia sẻ nhé bạn!
0 0 đánh giá
Article Rating
Theo dõi
Thông báo của
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận
0
Rất thích suy nghĩ của bạn, hãy bình luận.x
()
x