Tin tặc sử dụng Microsoft Build Engine để phân phối phần mềm độc hại

May 16, 2021

Các tin tặc đang lợi dụng lỗ hổng trong Microsoft Build Engine (MSBuild) để phát tán không chọn lọc mã độc hại, trojan có thể đánh cắp mật khẩu và/hoặc chiếm quyền quản lý máy tính của người dùng.

Thứ năm này, Các nhà nghiên cứu từ công ty an ninh mạng Anomali cho biết cho biết chiến dịch này đã bắt đầu từ giữa tháng tư và vẫn đang tích cực phát tán. Hiện tại, các mã độc hại được nhúng vào các tệp thực thi được mã hoá và mã Shellcode để triển khai một backdoor trên máy tính nạn nhân. Cách thức phát tán của mã độc hại này là chúng được mã hoá để qua mặt các chương trình ngăn chặn và dò tìm. Sau đó, chúng được giả mã bở các ứng dụng “hợp phép” và bắt đầu lây lan mã độc.

Cho đến hiện tại, chỉ mới phát hiện được 2 nhà phát triển có mã độc trong tiệp MSBuild.proj (người viết không cung cấp tên, các bạn có thể tìm hiểu thông qua google với keywords: vmnfmo.Ink). Phần lớn mã độc này thuộc dạng Remcos và hai mẫu khác là Quasar và RedLine Stealer. Remcos (hay còn gọi là phần mềm Giám sát và Điều khiển Từ xa), sau khi được cài đặt, sẽ cấp toàn quyền truy cập vào kẻ thù từ xa, các tính năng của nó từ ghi lại các lần nhấn phím đến thực hiện các lệnh tùy ý và ghi âm micrô và webcam, trong khi Quasar là một mã nguồn mở có khả năng RAT dựa trên .NET về keylogging, đánh cắp mật khẩu, trong số những người khác. Redline Stealer, như tên gọi, là một phần mềm độc hại hàng hóa thu thập thông tin đăng nhập từ các trình duyệt, VPN và ứng dụng nhắn tin, ngoài việc đánh cắp mật khẩu và ví được liên kết với các ứng dụng tiền điện tử.

Tara Gould và Gage Mele của Anomali cho biết. “Chiến dịch này nhấn mạnh rằng chỉ phụ thuộc vào phần mềm chống virus là không đủ để bảo vệ mạng và việc sử dụng mã hợp pháp để che giấu phần mềm độc hại khỏi công nghệ chống virus là hiệu quả và đang phát triển theo cấp số nhân.”

BTV DSH