Mạng botnet Emotet khét tiếng đã được liên kết với một làn sóng chiến dịch malspam mới tận dụng các tệp lưu trữ được bảo vệ bằng mật khẩu để thả CoinMiner và Quasar RAT trên các hệ thống bị xâm phạm.
Trong một chuỗi tấn công được phát hiện bởi các nhà nghiên cứu của Trustwave SpiderLabs, một mồi nhử tệp ZIP theo chủ đề hóa đơn đã được tìm thấy có chứa kho lưu trữ tự giải nén (SFX) lồng nhau, kho lưu trữ đầu tiên hoạt động như một đường dẫn để khởi chạy kho lưu trữ thứ hai.
Trong khi các cuộc tấn công lừa đảo như thế này theo truyền thống yêu cầu thuyết phục mục tiêu mở tệp đính kèm, công ty an ninh mạng cho biết chiến dịch đã vượt qua rào cản này bằng cách sử dụng tệp bó để tự động cung cấp mật khẩu để mở khóa tải trọng.
Tệp lưu trữ SFX đầu tiên tiếp tục sử dụng biểu tượng PDF hoặc Excel để làm cho nó có vẻ hợp pháp, trong khi thực tế, nó chứa ba thành phần: tệp SFX RAR thứ hai được bảo vệ bằng mật khẩu, tập lệnh hàng loạt nói trên khởi chạy kho lưu trữ và PDF hoặc hình ảnh mồi nhử.
"Việc thực thi tệp hàng loạt dẫn đến việc cài đặt phần mềm độc hại ẩn nấp trong RARsfx được bảo vệ bằng mật khẩu [kho lưu trữ RAR tự giải nén]," các nhà nghiên cứu Bernard Bautista và Diana Lopera cho biết trong một bài viết hôm thứ Năm.
Tập lệnh hàng loạt đạt được điều này bằng cách chỉ định mật khẩu của kho lưu trữ và thư mục đích mà tải trọng sẽ được trích xuất, ngoài việc khởi chạy một lệnh để hiển thị tài liệu thu hút trong nỗ lực che giấu hoạt động độc hại.
Cuối cùng, sự lây nhiễm lên đến đỉnh điểm trong việc thực thi CoinMiner, một công cụ khai thác tiền điện tử cũng có thể tăng gấp đôi như một kẻ đánh cắp thông tin xác thực, hoặc Quasar RAT, một mã nguồn mở . Trojan truy cập từ xa dựa trên NET, tùy thuộc vào tải trọng được đóng gói trong kho lưu trữ.
Kỹ thuật tấn công bằng một cú nhấp chuột cũng đáng chú ý ở chỗ nó nhảy qua hàng rào mật khẩu một cách hiệu quả, cho phép các tác nhân độc hại thực hiện một loạt các hành động như cryptojacking, xâm nhập dữ liệu và ransomware.
Trustwave cho biết họ đã xác định được sự gia tăng các mối đe dọa được đóng gói trong các tệp ZIP được bảo vệ bằng mật khẩu, với khoảng 96% trong số này được phân phối bởi mạng botnet Emotet.
Các nhà nghiên cứu cho biết: "Kho lưu trữ tự giải nén đã tồn tại trong một thời gian dài và giảm bớt việc phân phối tệp giữa những người dùng cuối. " "Tuy nhiên, nó gây ra rủi ro bảo mật vì nội dung tệp không dễ xác minh và nó có thể chạy các lệnh và tệp thực thi một cách âm thầm."