Tin tặc khai thác lỗ hổng trong trình duyệt của Microsoft để cài cắm mã độc VBA trên PC

Một tin tặc chưa xác định khai thác lỗ hổng trên trình duyệt IE (CVE-2021-26411) nhằm phát tán một mã độc RAT được viết bằng ngôn ngữ VBA. Mã độc có khả năng truy cập các tệp lưu trữ trong hệ thống Windows bị xâm nhập, đồng thời tải xuống và thực thi các payload độc hại.

Theo Malwarebytes, backdoor được phân phối thông qua một tài liệu giả mạo có tên “Manifest.docx”. Tài liệu có nhiệm vụ tải mã, mã khai thác lỗ hổng từ mẫu nhúng và thực thi shellcode để triển khai mã độc RAT.

Tài liệu độc hại giả mạo nội dung “Tuyên ngôn của người dân Crimea” – kêu gọi người dân phản đối Tổng thống Nga Vladimir Putin và “tạo ra một nền tảng thống nhất”.

Khai thác Internet Explorer là một trong hai cách được sử dụng để triển khai RAT. Những kẻ tấn công cũng có thể kết hợp kỹ thuật xã hội để tải xuống và thực thi một tài liệu mẫu có chứa macro giấu mã độc.

Bên cạnh việc thu thập siêu dữ liệu hệ thống, mã độc RAT có nhiệm vụ xác định sản phẩm antivirus chạy trên máy chủ bị nhiễm và thực hiện các lệnh nhận được từ một máy chủ tấn công, bao gồm đọc, xóa, và tải về tập tin tùy ý…