Những kẻ tấn công đang vũ khí hóa một lỗ hổng Microsoft Office cũ như một phần của các chiến dịch lừa đảo để phân phối một loại phần mềm độc hại có tên là Đặc vụ Tesla.
Các chuỗi lây nhiễm tận dụng các tài liệu Excel mồi nhử được đính kèm trong các tin nhắn theo chủ đề hóa đơn để lừa các mục tiêu tiềm năng mở chúng và kích hoạt khai thác CVE-2017-11882 (điểm CVSS: 7,8), một lỗ hổng hỏng bộ nhớ trong Trình soạn thảo phương trình của Office có thể dẫn đến việc thực thi mã với các đặc quyền của người dùng.
Những phát hiện, đến từ Zscaler ThreatLabz, được xây dựng dựa trên các báo cáo trước đó từ Fortinet FortiGuard Labs, trong đó nêu chi tiết một chiến dịch lừa đảo tương tự khai thác lỗ hổng bảo mật để phân phối phần mềm độc hại.
"Khi người dùng tải xuống tệp đính kèm độc hại và mở nó, nếu phiên bản Microsoft Excel của họ dễ bị tấn công, tệp Excel sẽ bắt đầu giao tiếp với đích độc hại và tiến hành tải xuống các tệp bổ sung mà không yêu cầu bất kỳ tương tác người dùng nào nữa", nhà nghiên cứu bảo mật Kaivalya Khursale cho biết.
Tải trọng đầu tiên là Visual Basic Script bị xáo trộn, bắt đầu tải xuống tệp JPG độc hại được nhúng với tệp DLL được mã hóa Base64. Chiến thuật trốn tránh steganographic này trước đó cũng đã được McAfee Labs trình bày chi tiết vào tháng 9/2023.
DLL ẩn sau đó được tiêm vào RegAsm.exe, Windows Assembly Registration Tool, để khởi chạy payload cuối cùng. Điều đáng chú ý là tệp thực thi cũng đã bị lạm dụng để tải Quasar RAT trong quá khứ.
Đặc vụ Tesla là một . Keylogger tiên tiến dựa trên NET và trojan truy cập từ xa (RAT) được trang bị để thu thập thông tin nhạy cảm từ các máy chủ bị xâm nhập. Phần mềm độc hại sau đó giao tiếp với một máy chủ từ xa để trích xuất dữ liệu thu thập được.
"Các tác nhân đe dọa liên tục điều chỉnh các phương pháp lây nhiễm, khiến các tổ chức bắt buộc phải cập nhật về các mối đe dọa mạng đang phát triển để bảo vệ bối cảnh kỹ thuật số của họ", Khursale nói.
Sự phát triển này diễn ra khi các lỗ hổng bảo mật cũ trở thành mục tiêu tấn công mới cho các tác nhân đe dọa. Đầu tuần này, Imperva tiết lộ rằng một lỗ hổng ba năm tuổi trong Oracle WebLogic Server (CVE-2020-14883, điểm CVSS: 7.2) đang được 8220 Gang sử dụng để cung cấp các thợ đào tiền điện tử.
Nó cũng trùng hợp với sự gia tăng hoạt động của phần mềm độc hại DarkGate sau khi nó bắt đầu được quảng cáo vào đầu năm nay dưới dạng dịch vụ phần mềm độc hại (MaaS) và thay thế cho QakBot sau khi bị gỡ xuống vào tháng 8/2023.
"Lĩnh vực công nghệ bị ảnh hưởng nhiều nhất bởi các chiến dịch tấn công DarkGate", Zscaler nói, trích dẫn dữ liệu đo từ xa của khách hàng.
"Hầu hết các miền DarkGate đều có tuổi đời từ 50 đến 60 ngày, điều này có thể cho thấy một cách tiếp cận có chủ ý, nơi các tác nhân đe dọa tạo và xoay vòng các miền trong các khoảng thời gian cụ thể."
Các chiến dịch lừa đảo cũng đã được phát hiện nhắm mục tiêu vào lĩnh vực khách sạn bằng các email liên quan đến đặt phòng để phân phối phần mềm độc hại đánh cắp thông tin như RedLine Stealer hoặc Vidar Stealer, theo Sophos.
"Ban đầu họ liên lạc với mục tiêu qua email không chứa gì ngoài văn bản, nhưng với chủ đề mà một doanh nghiệp định hướng dịch vụ (như khách sạn) sẽ muốn phản hồi nhanh chóng", các nhà nghiên cứu Andrew Brandt và Sean Gallagher cho biết.