Hacker lạm dụng Microsoft Build Engine (MSBuild) để phát tán trojan truy cập từ xa và mã độc đánh cắp mật khẩu trên các hệ thống Windows.
Các nhà nghiên cứu cho biết, chiến dịch tấn công có thể đã bắt đầu từ tháng trước và vẫn đang diễn ra. Hacker nhúng tệp thực thi và shellcode vào các file build để triển khai backdoor, từ đó kiểm soát máy của nạn nhân và đánh cắp thông tin nhạy cảm.
MSBuild là công cụ xây dựng mã nguồn mở cho .NET và Visual Studio do Microsoft phát triển, cho phép tạo mã nguồn, đóng gói, kiểm tra, triển khai ứng dụng.
Mã độc sử dụng một ứng dụng hợp pháp để tải mã tấn công vào bộ nhớ, do đó không để lại dấu vết lây nhiễm trên hệ thống, tăng khả năng lẩn trốn khỏi các cơ chế an ninh.
Chỉ có 2 hãng an ninh mạng đánh dấu file MSBuild .proj (“vwnfmo.lnk”) là độc hại, trong khi mẫu thứ hai (“72214c84e2.proj”) được tải lên VirusTotal vào ngày 18/4 vẫn không bị phát hiện bởi mọi phần mềm chống mã độc. Phần lớn các mẫu phân tích phát tán RAT Remcos, một số mẫu khác phát tán Quasar RAT và RedLine Stealer.
Remcos sau khi được cài đặt, sẽ cấp toàn quyền truy cập vào thiết bị từ xa. Các tính năng mã độc này gồm từ ghi lại các lần nhấn phím đến thực hiện các lệnh tùy ý và ghi âm micro, webcam. Quasar có khả năng keylog, đánh cắp mật khẩu. Redline Stealer thu thập thông tin đăng nhập từ các trình duyệt, VPN và ứng dụng nhắn tin. Mã độc cũng có thể đánh cắp mật khẩu và ví liên kết với các ứng dụng tiền điện tử.
Các nhà nghiên cứu cho biết: “Chiến dịch này thêm khẳng định, nếu chỉ phụ thuộc vào phần mềm chống virus là không đủ để bảo vệ hệ thống, khi các mã độc ngày càng ẩn náu tinh vi và phát triển theo cấp số nhân”.
Theo The Hacker News