Mớii đây phía Microsoft vừa phát đi cảnh báo khẩn liên quan đến một loại phần mềm độc mới. Chúng có tên RevengeRAT. Mă độc nguy hiểm này hiện đang lây lan với tốc độ nhanh chóng trên toàn thế giới, chủ yếu dưới h́nh thức tệp đính kèm trong các email lừa đảo trực tuyến nhắm mục tiêu vào những lĩnh vực như hàng không và du lịch.
RevengeRAT, c̣n được biết đến với tên gọi AsyncRAT, là một chủng mă độc RAT Loader chủ yếu được phân phối thông qua email giả mạo. Những email này được thiết kế cực kỳ tinh vi và cẩn thận, đến mức người dùng thông thường gần như không thể phát hiện ra bất cứ dấu hiệu đáng ngờ nào. Nội dung email độc hại thường liên quan đến việc hướng dẫn người nhận mở một tệp trông giống như tệp đính kèm Adobe PDF chứa một thông tin cụ thể nào đó, nhưng thực chất đó lại là tŕnh đặt tệp cơ bản trực quan (visual basic file) độc hại.
Morphisec, một tổ chức an ninh mạng quốc tế, gần đây cũng đă xác định phần mềm độc hại này là một phần của một dịch vụ Crypter-as-a-Service phức tạp, có liên quan đến hành vi phát tán nhiều loại RAT.
Theo tiết lộ của nhóm chuyên gia bảo mật Microsoft, các tác nhân độc hại chưa rơ danh tính đang tích cực phát tán email lừa đảo có chứa bộ tải (loader) của RevengeRAT hoặc AsyncRAT trên internet, dẫn đến nguy cơ một làn sóng mă độc phức tạp hoàn toàn có thể được h́nh thành nếu các biện pháp ngăn chặn cần thiết không sớm được triển khai.
“Chiến dịch tấn công này phát tán email giả mạo của các tổ chức hợp pháp, trong đó chủ yếu nhằm mục tiêu đến đến lĩnh vực hàng không, du lịch hoặc hàng hóa. Thông thường, sẽ có một tệp PDF chứa liên kết được nhúng (thường lạm dụng các dịch vụ web hợp pháp) tŕnh tải xuống một VBScript độc hại phát tán tải trọng RAT)".
Các chuyên gia Morphisec gọi dịch vụ mă hóa này là "Snip3", theo tên người dùng được phát hiện trong các biến thể phần mềm độc hại trước đó.
Đáng chú ư, Snip3 được thiết kế để có thể tạm ngừng tải RAT nếu phát hiện thấy nó đang được thực thi trong Windows Sandbox - tính năng cho phép người dùng chạy các tệp độc hại tiềm ẩn trong hộp cát an toàn và không tương tác với hệ điều hành chủ. T́nh huống tương tự cũng diễn ra trong môi trường máy ảo. Đây là một phương thức ẩn ḿnh cực kỳ tinh vi.
Trong trường hợp RAT được cài đặt thành công, nó sẽ lập tức kết nối với máy chủ lệnh và điều khiển (C2 server) của ḿnh để bắt đầu hoạt động độc hại, đồng thời truy xuất nhiều phần mềm độc hại từ các trang web liên kết.
Sự tồn tại của RAT trên bất kỳ hệ thống nào cũng đều là một mối đe dọa lớn, bởi nó có thể lấy cắp mật khẩu, ảnh và video từ webcam cũng như bất kỳ dữ liệu nào khác được t́m thấy trên khay nhớ tạm (clipboard) của hệ thống.
Microsoft hiện đă phát hành công khai các truy vấn t́m kiếm nâng cao trên GitHub để các đội ngũ bảo mật trên toàn thế giới có thể sử dụng nếu họ phát hiện ra những mối đe dọa này trên mạng của ḿnh.