Tin tặc lợi dụng sản phẩm bảo mật để cài đặt Bookworm Trojan

Trong khi phân tích hoạt động của một nhóm tin tặc, các nhà nghiên cứu tại công ty bảo mật Alto Networks đã tình cờ phát hiện một loại Trojan mới có tên ‘Bookworm’.

Bookworm được sử dụng bởi các nhân tố độc hại trong các cuộc tấn công tại Thái Lan, rất giống với PlugX (Korplug) RAT được sử dụng bởi các cuộc tấn công có chủ đích (APT) tại Trung Quốc. Phân tích chuyên sâu cho thấy loại Trojan mới này có module thiết kế độc đáo.

Lõi của Bookworm được thiết kế để ghi lại nội dung người dùng gõ bàn phím và đánh cắp nội dung trong clipboard. Tuy nhiên, mối đe dọa này có khả năng tải thêm nhiều module khác từ máy chủ điều khiển nhằm mở rộng tính năng. Tin tặc sử dụng trình cài đặt Smart Installer Maker để giấu malware, dưới dạng tự giải nén RAR hoặc Flash slideshow … Phần mềm cải trang thành ứng dụng hợp pháp có file DLL ‘Loader.dll’ và file ‘readme.txt’ để tấn công hệ thống.

File thực thi được cải trang là ushata.exe  trong Kaspersky Anti-Virus hoặc MsMpEng.exe trong Microsoft Security Essentials. Những file này thường được sử dụng để thực hiện tải file DLL từ bên ngoài. Loader.dll sau đó sẽ giải mã ‘readme.txt’ và triển khai shellcode rồi tiếp tục giải mã ‘Leader.dll’ và nhiều file khác. Các file này cung cấp tính năng cho Bookworm, không ghi trực tiếp lên đĩa mà thực hiện trên bộ nhớ.

Palo Alto Networks hiện chưa chia sẻ thông tin đối tượng đằng sau vụ tấn công và nạn nhân của các vụ tấn công. Công ty cho biết sẽ cung cấp thông tin trong các báo cáo tiếp theo.

securityweek