Một chiến dịch lừa đảo tinh vi đang sử dụng các tệp ảnh đĩa cứng ảo (.vhd) để phân phối phần mềm độc hại nguy hiểm VenomRAT.

Phương thức tấn công:

1. Email lừa đảo: Chiến dịch bắt đầu bằng các email giả mạo đơn đặt hàng, kèm theo tệp đính kèm dạng lưu trữ. Khi giải nén, các tệp này chứa tệp ảnh đĩa cứng được thiết kế để qua mặt các biện pháp bảo mật truyền thống.
2. Kích hoạt tệp .vhd: Khi mở, tệp .vhd tự gắn kết như một ổ đĩa chứa tập lệnh batch được làm rối mạnh mẽ, thực hiện các hoạt động độc hại bằng cách sử dụng PowerShell.
3. Làm rối mã: Tập lệnh batch chứa nhiều lớp làm rối, bao gồm các ký tự rác, mã hóa Base64 và mã hóa AES.

Phân tích VenomRAT:

• Phiên bản: VenomRAT 6.0.3, bao gồm dịch vụ HVNC (Hidden Virtual Network Computing) cho phép kiểm soát hệ thống từ xa.
• Hoạt động: Phần mềm độc hại thả tệp DataLogs.conf trong “C:\Users%userprofile%\AppData\Roaming\MyData” để ghi lại thao tác phím và thông tin nhạy cảm khác.
• Giao tiếp: Tệp cấu hình chứa khóa mã hóa AES và giá trị salt, được sử dụng để giao tiếp an toàn với máy chủ điều khiển.

Khuyến nghị bảo mật:

• Cảnh giác với email lạ: Không mở tệp đính kèm hoặc liên kết trong email từ nguồn không xác định.
• Sử dụng phần mềm bảo mật cập nhật: Đảm bảo phần mềm chống virus và các giải pháp bảo mật khác luôn được cập nhật để phát hiện các mối đe dọa mới nhất.
• Đào tạo nhận thức bảo mật: Tổ chức các khóa đào tạo cho nhân viên về cách nhận biết và xử lý các email lừa đảo.

Việc áp dụng các biện pháp trên sẽ giúp giảm thiểu nguy cơ bị tấn công bởi các chiến dịch phần mềm độc hại như VenomRAT.

Security365