What is Remote Access Trojan (RAT)?
Một Remote Access Trojan là một loại phần mềm độc hại cho phép kẻ tấn công xâm nhập và kiểm soát từ xa trên máy tính hoặc thiết bị mục tiêu mà không được phép. RAT thường được giả mạo thành các chương trình hoặc tệp tin hợp pháp và thường lan truyền qua email lừa đảo, các trang web bị nhiễm độc, hoặc các tải xuống phần mềm.
Khi một RAT xâm nhập vào hệ thống, nó có thể thực hiện nhiều hoạt động độc hại mà không được người dùng biết, bao gồm:
Điều khiển từ xa: Kẻ tấn công có thể điều khiển từ xa hệ thống bị nhiễm, truy cập vào các tệp tin, chạy các chương trình và điều chỉnh cài đặt của hệ thống.
Giám sát và theo dõi: RAT có thể chụp ảnh màn hình, ghi lại các phím được nhấn, giám sát hoạt động của người dùng và thậm chí kích hoạt webcam và micro của thiết bị để giám sát người dùng.
Đánh cắp dữ liệu: Kẻ tấn công có thể đánh cắp thông tin nhạy cảm như thông tin đăng nhập, tài liệu cá nhân, dữ liệu tài chính và sở hữu trí tuệ từ hệ thống bị nhiễm.
Tấn công từ chối dịch vụ (DDoS): Một số RAT tiên tiến có thể biến hệ thống bị nhiễm thành bot, tham gia vào các cuộc tấn công DDoS được tổ chức đối với mục tiêu cụ thể.
Hình thành Botnet: RAT có thể được sử dụng để tạo ra một mạng lưới các thiết bị bị xâm nhập (botnet) có thể được điều khiển tổng thể bởi kẻ tấn công cho các mục đích độc hại, chẳng hạn như gửi email rác hoặc thực hiện các cuộc tấn công mạng quy mô lớn.
RAT được coi là mối đe dọa bảo mật nghiêm trọng vì nó cung cấp cho kẻ tấn công quyền truy cập và kiểm soát trái phép trên các hệ thống bị xâm nhập. Để bảo vệ khỏi RAT, quan trọng là duy trì phần mềm bảo mật được cập nhật, cẩn trọng khi mở các tệp tin đính kèm email hoặc tải xuống từ nguồn không đáng tin cậy và thường xuyên cài đặt bản vá và cập nhật cho hệ điều hành và ứng dụng để khắc phục các lỗ hổng mà RAT có thể khai thác.
Chiến dịch nhắm mục tiêu vào Ấn Độ và Hoa Kỳ với các Trojan truy cập từ xa
Một chiến dịch lừa đảo mới có tên mã là MULTI#STORM đã nhắm đến Ấn Độ và Hoa Kỳ bằng cách tận dụng các tệp JavaScript để phân phối các trojan truy cập từ xa trên các hệ thống bị xâm nhập.
Các nhà nghiên cứu của Securonix, Den Iuzvyk, Tim Peck và Oleg Kolesnikov cho biết: “Chuỗi cuộc tấn công kết thúc với việc máy nạn nhân bị nhiễm nhiều phiên bản phần mềm độc hại RAT (trojan truy cập từ xa), chẳng hạn như Warzone RAT và Quasar RAT”.
“Cả hai đều được sử dụng để ra lệnh và kiểm soát trong các giai đoạn khác nhau của chuỗi lây nhiễm.”
Chuỗi tấn công nhiều giai đoạn bắt đầu khi người nhận email nhấp vào liên kết nhúng trỏ đến tệp ZIP được bảo vệ bằng mật khẩu (“REQUEST.zip”) được lưu trữ trên Microsoft OneDrive bằng mật khẩu “12345”.
Giải nén tệp lưu trữ cho thấy một tệp JavaScript đã bị sửa đổi (“REQUEST.js”) mà khi được nhấp đúp, sẽ kích hoạt sự lây nhiễm bằng cách thực thi hai lệnh PowerShell thực thi lệnh truy vấn đến hai file riêng biệt từ OneDrive và thực thi chúng.
Tệp đầu tiên trong số hai tệp là tài liệu có định dạng PDF giả được hiển thị cho nạn nhân trong khi tệp thứ hai, tệp thực thi dựa trên Python, được cày đặt chạy trong nền.
Tệp nhị phân hoạt động như một công cụ nhỏ để trích xuất và chạy tải chính được đóng gói bên trong nó ở dạng chuỗi được mã hóa Base64 (“Storm.exe”), nhưng không phải trước khi thiết lập tính bền vững thông qua sửa đổi Windows Registry.
Cũng được giải mã bởi tệp nhị phân là tệp ZIP thứ hai (“files.zip”) chứa bốn tệp khác nhau, mỗi tệp được thiết kế để vượt qua Kiểm soát tài khoản người dùng (UAC) và leo thang đặc quyền bằng cách tạo các thư mục đáng tin cậy giả.
Trong số các tệp có một tệp (“check.bat”) mà Securonix cho biết có một số điểm tương đồng với một trình tải khác có tên DBatLoader mặc dù có sự khác biệt về ngôn ngữ lập trình được sử dụng.
Tệp thứ hai có tên “KDECO.bat” thực thi lệnh PowerShell để hướng dẫn Bộ bảo vệ Microsoft thêm quy tắc loại trừ phần mềm chống vi-rút để bỏ qua thư mục “C:\Users”.
Cuộc tấn công lên đến đỉnh điểm với việc triển khai Warzone RAT (hay còn gọi là Ave Maria), một phần mềm độc hại có sẵn được bán với giá 38 đô la mỗi tháng và đi kèm với một danh sách đầy đủ các tính năng để thu thập dữ liệu nhạy cảm và tải xuống phần mềm độc hại bổ sung như Quasar RAT .
Các nhà nghiên cứu cho biết: “Điều quan trọng là phải hết sức thận trọng khi nói đến các email lừa đảo, đặc biệt là khi cảm giác cấp bách bị căng thẳng”.
"Mồi cụ thể này nhìn chung không có gì đáng chú ý vì nó sẽ yêu cầu người dùng thực thi trực tiếp một tệp JavaScript. Các tệp lối tắt hoặc tệp sử dụng phần mở rộng kép có thể có tỷ lệ thành công cao hơn."
