Các tác nhân đe dọa đang lạm dụng Microsoft Build Engine (MSBuild) để triển khai các công cụ truy cập từ xa (RAT) và phần mềm độc hại đánh cắp thông tin một cách vô cớ.
MSBuild (msbuild.exe) là một nền tảng phát triển mã nguồn mở và hợp pháp của Microsoft, tương tự như tiện ích tạo Unix, để xây dựng các ứng dụng.
Theo nhóm Nghiên cứu các tác nhân đe dọa của Anomali, các tệp dự án MSBuild độc hại được phân phối trong chiến dịch này bao gồm các tệp thực thi được mã hóa và mã hóa shellcode mà các tác nhân đe dọa sử dụng để đưa các tải trọng cuối cùng vào bộ nhớ của các quy trình mới được tạo ra.
"Mặc dù chúng tôi không thể xác định phương thức phân phối của các tệp .proj, nhưng mục tiêu của các tệp này là thực thi Remcos hoặc RedLine Stealer", các nhà phân tích tình báo của Anomali Tara Gould và Gage Mele cho biết.
Vào tháng trước, những kẻ tấn công bắt đầu đẩy các tải trọng Remcos RAT, Quasar RAT và RedLine Stealer vào máy tính của nạn nhân. Ngày 11 tháng 5, những tải trọng trên vẫn còn hoạt động.
Sau khi các RAT được cài đặt trên một hệ thống được nhắm mục tiêu, chúng sẽ thu thập thông tin, ảnh chụp màn hình và làm vô hiệu hóa các phần mềm chống độc hại, tăng tính bền bỉ và tiếp quản hoàn toàn các thiết bị từ xa.
Trên các máy tính mà những kẻ tấn công đã triển khai trình đánh cắp thông tin, phần mềm độc hại sẽ quét các trình duyệt web, ứng dụng nhắn tin, VPN và phần mềm tiền điện tử để lấy cắp thông tin đăng nhập của người dùng.
RedLine cũng có thể thu thập và lọc thông tin hệ thống, cookie và thông tin ví tiền điện tử từ các tệp cấu hình và dữ liệu ứng dụng được lưu trữ trên thiết bị của nạn nhân.
Việc sử dụng công cụ phát triển MSBuild hợp pháp của Microsoft cho phép những kẻ tấn công tránh bị phát hiện trong khi tải trực tiếp các tải trọng độc hại vào bộ nhớ của máy tính được nhắm mục tiêu.
Theo VirusTotal, các mẫu phần mềm độc hại được sử dụng trong chiến dịch này không bị phát hiện bởi một số lượng rất thấp các công cụ chống phần mềm độc hại.
Fireless malware tiếp tục làm giảm khả năng phát hiện cuộc tấn công vì không có tệp thực tế nào xuất hiện trên thiết bị của nạn nhân, không có dấu vết vật lý của tải trọng còn lại trên ổ cứng của thiết bị bị nhiễm.
Theo một báo cáo bảo mật Internet của WatchGuard được công bố vào cuối tháng 3, việc phân phối fireless malware đã tăng mạnh từ năm 2019 đến năm 2020, tăng vọt 888% dựa trên dữ liệu thông minh về mối đe dọa điểm cuối được thu thập bởi các sản phẩm của WatchGuard Panda trong một năm.
“Các tác nhân đe dọa đằng sau chiến dịch này đã sử dụng phân phối fileless như một cách để vượt qua các biện pháp an ninh và kỹ thuật này được các tác nhân sử dụng cho nhiều mục tiêu và động cơ khác nhau", Anomali kết luận.
Chiến dịch này nhấn mạnh rằng, chỉ phụ thuộc vào phần mềm diệt virus là không đủ để bảo vệ mạng và việc sử dụng mã hợp pháp để che giấu phần mềm độc hại khỏi công nghệ chống virus là hiệu quả và đang phát triển theo cấp số nhân.