นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่ใช้ประโยชน์จากหน้า Google Sites ปลอมและการลักลอบนำ HTML เพื่อเผยแพร่มัลแวร์เชิงพาณิชย์ที่เรียกว่า AZORult เพื่ออำนวยความสะดวกในการขโมยข้อมูล
“มันใช้เทคนิคการลักลอบขน HTML นอกรีต โดยที่เพย์โหลดที่เป็นอันตรายถูกฝังอยู่ในไฟล์ JSON แยกต่างหากที่โฮสต์บนเว็บไซต์ภายนอก” Jan Michael Alcantara นักวิจัยของ Netskope Threat Labs กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้ว
แคมเปญฟิชชิ่งไม่ได้ระบุถึงผู้ก่อภัยคุกคามหรือกลุ่มใดกลุ่มหนึ่ง บริษัทรักษาความปลอดภัยทางไซเบอร์รายนี้อธิบายว่าสิ่งนี้แพร่หลายโดยมีวัตถุประสงค์เพื่อรวบรวมข้อมูลที่ละเอียดอ่อนเพื่อขายในฟอรัมใต้ดิน
AZORult หรือที่เรียกว่า PuffStealer และ Ruzalto เป็นผู้ขโมยข้อมูลที่ถูกตรวจพบครั้งแรกประมาณปี 2016 โดยทั่วไปจะมีการเผยแพร่ผ่านแคมเปญฟิชชิ่งและมัลแวร์สแปม โปรแกรมติดตั้งโทรจันสำหรับซอฟต์แวร์หรือสื่อละเมิดลิขสิทธิ์ และมัลแวร์โฆษณา
เมื่อติดตั้งแล้ว จะสามารถรวบรวมข้อมูลประจำตัว คุกกี้ และประวัติจากเว็บเบราว์เซอร์ ภาพหน้าจอ เอกสารที่ตรงกับรายการส่วนขยายเฉพาะ (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX และ .KDBX) และข้อมูลจากกระเป๋าเงินดิจิตอล 137 ใบ ไฟล์ AXX เป็นไฟล์เข้ารหัสที่สร้างโดย AxCrypt ในขณะที่ KDBX อ้างถึงฐานข้อมูลรหัสผ่านที่สร้างโดยตัวจัดการรหัสผ่าน KeePass
กิจกรรมการโจมตีล่าสุดเกี่ยวข้องกับผู้คุกคามที่สร้างหน้า Google เอกสารปลอมบน Google Sites ซึ่งต่อมาใช้การลักลอบขน HTML เพื่อส่งมอบเพย์โหลด
การลักลอบนำ HTML เป็นชื่อที่ตั้งให้กับเทคนิคการลักลอบซึ่งใช้คุณลักษณะ HTML5 และ JavaScript ที่ถูกกฎหมายในทางที่ผิดเพื่อรวบรวมและเปิดใช้มัลแวร์โดยการ “ลักลอบ” สคริปต์ที่เป็นอันตรายที่เข้ารหัสไว้
ดังนั้น เมื่อผู้เยี่ยมชมถูกหลอกให้เปิดหน้าโกงจากอีเมลฟิชชิ่ง เบราว์เซอร์จะถอดรหัสสคริปต์และแยกข้อมูลเพย์โหลดบนอุปกรณ์โฮสต์ โดยข้ามการควบคุมความปลอดภัยทั่วไปอย่างมีประสิทธิภาพ เช่น เกตเวย์อีเมลที่ทราบกันว่าตรวจสอบเฉพาะไฟล์แนบที่น่าสงสัยเท่านั้น
แคมเปญ AZORult ใช้แนวทางนี้สูงขึ้นอีกขั้นด้วยการเพิ่มอุปสรรค CAPTCHA ซึ่งเป็นแนวทางที่ไม่เพียงแต่ช่วยให้เกิดความชอบธรรมเท่านั้น แต่ยังทำหน้าที่เป็นชั้นการป้องกันเพิ่มเติมจากเครื่องสแกน URL อีกด้วย
ไฟล์ที่ดาวน์โหลดเป็นไฟล์ทางลัด (.LNK) ที่ปลอมแปลงเป็นใบแจ้งยอดธนาคาร PDF ซึ่งเปิดตัวซึ่งจะเริ่มต้นชุดของการดำเนินการเพื่อดำเนินการชุดของชุดระดับกลางและสคริปต์ PowerShell จากโดเมนที่ถูกบุกรุกแล้ว
หนึ่งในสคริปต์ PowerShell (“agent3.ps1”) ได้รับการออกแบบมาเพื่อดึงตัวโหลด AZORult (“service.exe”) ซึ่งในทางกลับกันจะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell อื่น (“sd2.ps1”) ที่มีมัลแวร์ขโมย
“มันดำเนินการ AZORult infostealer ที่ไม่มีไฟล์อย่างลับๆ โดยใช้การโหลดโค้ดสะท้อนแสง ข้ามการตรวจจับบนดิสก์ และลดขนาดสิ่งประดิษฐ์” Michael Alcantara กล่าว “ใช้เทคนิคบายพาส AMSI เพื่อหลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์ต่อต้านมัลแวร์บนโฮสต์ที่หลากหลาย รวมถึง Windows Defender”
“ไม่เหมือนกับไฟล์ลักลอบขนสินค้าทั่วไปที่มี Blob อยู่ในโค้ด HTML อยู่แล้ว แคมเปญนี้จะคัดลอกเพย์โหลดที่เข้ารหัสจากไซต์ที่ถูกบุกรุกอีกไซต์หนึ่ง การใช้โดเมนที่ถูกต้องตามกฎหมาย เช่น Google Sites สามารถช่วยหลอกเหยื่อให้เชื่อว่าลิงก์นั้นถูกต้องตามกฎหมาย”
การค้นพบนี้เกิดขึ้นเมื่อ Cofense เปิดเผยการใช้ไฟล์ SVG ที่เป็นอันตรายโดยผู้คุกคามในแคมเปญล่าสุดเพื่อเผยแพร่ Agent Tesla และ XWorm โดยใช้โปรแกรมโอเพ่นซอร์สที่เรียกว่า AutoSmuggle ซึ่งช่วยลดความยุ่งยากในกระบวนการสร้างไฟล์ HTML หรือ SVG ที่ลักลอบนำเข้า
AutoSmuggle “นำไฟล์เช่น exe หรือไฟล์เก็บถาวรและ ‘ลักลอบ’ เข้าไปในไฟล์ SVG หรือ HTML ดังนั้นเมื่อเปิดไฟล์ SVG หรือ HTML ไฟล์ ‘ลักลอบนำเข้า’ จะถูกส่งไป” บริษัทอธิบาย
แคมเปญฟิชชิ่งยังถูกพบว่าใช้ไฟล์ทางลัดที่บรรจุอยู่ในไฟล์เก็บถาวรเพื่อเผยแพร่ LokiBot ซึ่งเป็นผู้ขโมยข้อมูลที่คล้ายคลึงกับ AZORult พร้อมคุณสมบัติในการเก็บเกี่ยวข้อมูลจากเว็บเบราว์เซอร์และกระเป๋าเงินดิจิตอล
“ไฟล์ LNK รันสคริปต์ PowerShell เพื่อดาวน์โหลดและรัน LokiBot loader ที่สามารถเรียกใช้งานได้จาก URL มีการตรวจพบมัลแวร์ LokiBot โดยใช้เทคนิคการอำพรางภาพ การบรรจุแบบหลายชั้น และเทคนิคการใช้ชีวิตนอกพื้นที่ (LotL) ในแคมเปญที่ผ่านมา” SonicWall เปิดเผยเมื่อสัปดาห์ที่แล้ว
ในอีกกรณีหนึ่งที่ Docguard เน้นไว้ พบว่าไฟล์ทางลัดที่เป็นอันตรายถูกพบว่าเริ่มต้นการดาวน์โหลดเพย์โหลดและปรับใช้มัลแวร์ที่ใช้ AutoIt ในที่สุด
นั่นไม่ใช่ทั้งหมด ผู้ใช้ในภูมิภาคละตินอเมริกากำลังตกเป็นเป้าหมายซึ่งเป็นส่วนหนึ่งของแคมเปญที่กำลังดำเนินอยู่ โดยผู้โจมตีแอบอ้างเป็นหน่วยงานรัฐบาลโคลอมเบียเพื่อส่งอีเมลที่ติดกับดักพร้อมเอกสาร PDF ที่กล่าวหาว่าผู้รับฝ่าฝืนกฎจราจร
ที่ปรากฏภายในไฟล์ PDF คือลิงก์ที่เมื่อคลิกแล้วจะส่งผลให้มีการดาวน์โหลดไฟล์ ZIP ที่มี VBScript เมื่อดำเนินการ VBScript จะปล่อยสคริปต์ PowerShell ที่รับผิดชอบในการดึงหนึ่งในโทรจันการเข้าถึงระยะไกล เช่น AsyncRAT, njRAT และ Remcos
พบว่าบทความนี้น่าสนใจ? ติดตามเราบน Twitter และ LinkedIn เพื่ออ่านเนื้อหาพิเศษเพิ่มเติมที่เราโพสต์
Leave a Reply