Marap có thể tải thêm các môđun và dữ liệu để cung cấp cho tin tặc đa dạng các khả năng tấn công. Các nhà nghiên cứu thuộc công ty an ninh mạng Proofpoint (có trụ sở chính tại Mỹ) đã quan sát thấy mã độc Marap cung cấp một môđun xác định hệ thống của thiết bị (system fingerprinting), sử dụng để do thám nạn nhân. Công cụ này là một tệp thư viện liên kết động (DLL) được lập trình bằng ngôn ngữ C; có chức năng biên dịch các thông tin như tên người dùng, tên miền, tên máy chủ, địa chỉ IP, ngôn ngữ, quốc gia, phiên bản hệ điều hành Windows, các tệp tin .ost của Microsoft Outlook, các phần mềm diệt virus và gửi những thông tin này tới máy chủ C&C của tin tặc.
Theo Proofpoint, hình thức hoạt động của chiến dịch thư rác lừa đảo có chứa mã độc Marap khá giống với các chiến dịch thư rác khác trước đó, có liên quan đến hành vi TA505 – hay còn gọi là botnet Necurs. Báo cáo cho biết, các thư điện tử rác sử dụng nhiều loại tệp tin đính kèm độc hại khác nhau, bao gồm các tệp Excel Web Query (.iqy), các tệp nén ZIP bảo vệ bằng mật khẩu có chứa các tệp .iqy, các văn bản PDF có nhúng tệp .iqy và các văn bản Microsoft Word với macro tự động.
Vào tháng 6/2018, các nhà nghiên cứu thuộc công ty an ninh mạng Barkly có trụ sở tại Boston đã cho biết, những tin tặc sử dụng thư rác chuyên nghiệp, bao gồm tin tặc đứng sau Necurs, đang ngày càng phụ thuộc vào các tệp tin .iqy. Các tệp này thường được dùng để tải dữ liệu trên Internet trực tiếp vào tệp tin Excel, nhằm thực hiện một chuỗi các hoạt động tải về độc hại.
Các nhà nghiên cứu của Proofpoint liệt kê 5 ví dụ thư rác khác nhau mà họ quan sát được trong chiến dịch mã độc Marap. Hầu hết đều có phần chủ đề và nội dung đơn giản, gây sự chú ý và thường kết hợp với các chữ cái, chữ số ngẫu nhiên. Có thư mang dòng chủ đề “YÊU CẦU” và các chữ cái được sắp xếp ngẫu nhiên, bao gồm một văn bản .iqy đính kèm, mạo danh văn bản đề nghị mời thầu (Request For Proposal). Một thư rác khác cũng chứa tệp .iqy, được miêu tả là “TÀI LIỆU QUAN TRỌNG” ở dòng chủ đề, mạo danh quảng cáo cho các sản phẩm và dịch vụ của một ngân hàng thật ở Mỹ. Các thư rác khác sử dụng tên giả với các tên miền thư điện tử ngẫu nhiên, dụ dỗ nạn nhân mở tệp tin độc hại dưới hình thức những văn bản PDF, tệp hình ảnh hoặc hóa đơn.
Mã độc Marap được viết bằng ngôn ngữ C và đặt tên dựa trên cách đọc ngược từ phải sang trái của “param”, tín hiệu mà nó gửi cho máy chủ C&C. Theo Proofpoint, mã độc này giao tiếp với hệ thống C&C thông qua giao thức HTTP. Đầu tiên, mã độc này sẽ thử một vài chức năng hợp lệ của WinHTTP (giao diện cấp cao cho giao thức HTTP/1.1 có máy chủ hỗ trợ mà Microsoft cung cấp cho nhà phát triển) để xem liệu có cần sử dụng proxy hay không và nếu cần sẽ chọn proxy nào.
Mã độc Marap cũng sử dụng một số kỹ thuật như chống phân tích, chống gỡ lỗi (debug) và chống sandbox, bao gồm API hashing (dùng hàm băm cho giao diện lập trình ứng dụng API), kiểm tra thời gian khi bắt đầu các chức năng quan trọng, làm rối các xâu và so sánh các địa chỉ MAC của hệ thống bị lây nhiễm với các nhà cung cấp máy ảo.
Báo cáo của Proofpoint cũng cho biết, do các cơ chế bảo vệ trở nên tiến bộ hơn để bắt kịp các xu hướng mã độc, nên những kẻ tấn công, phát triển mã độc sẽ tiếp tục khám phá các phương pháp mới để tăng hiệu quả, hạn chế để lại dấu vết và “ồn ào” cho các mã độc. Mã độc Marap và một mã độc khác tương tự đã chỉ ra một xu hướng mới đang phát triển của hình thức mã độc nhỏ gọn, đa năng, mang lại cho tin tặc tính linh hoạt khi thực hiện các cuộc tấn công trong tương lai và phát hiện các hệ thống mục tiêu giúp chúng gây ra nhiều thiệt hại hơn.
Đỗ Đoàn Kết
Theo SC Media
09:00 | 17/12/2018
08:00 | 17/07/2019
07:00 | 04/05/2020
08:00 | 23/08/2021
13:00 | 16/09/2022
21:00 | 18/12/2018
10:00 | 29/11/2018
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024