Các nhà nghiên cứu bảo mật vừa lên tiếng cảnh báo về phiên bản mới của trojan truy cập từ xa JSSLoader. Hiện trojan này đang được phát tán dưới dạng các add-in Microsoft Excel độc hại. RAT (trojan truy cập từ xa) JSSLoader đã xuất hiện từ tháng 12/2020. Nó có liên quan tới nhóm hacker FIN7 của Nga và thường tấn công dưới động cơ tài chính. Nó còn được biết đến với tên gọi “Carbanak”.
JSSLoader là một RAT kích thước nhỏ có thể thực hiện những hành vi như lọc dữ liệu, thiết lập sự hiện diện bền bỉ, tìm nạp và tải các payload bổ sung, tự động cập nhật…
Hiện tại, theo các nhà nghiên cứu tại Morphisec Labs, JSSLoader đang được phân phối qua các email lừa đảo chứa những tệp XLL hoặc XLM đính kèm. Đây là chiến dịch mới nhất có liên quan tới JSSLoader.
Lạm dụng add-in Excel XLL không phải là một điều gì mới mẻ. Thường thì add-in Excel được dùng cho mục đích tốt như nhập dữ liệu vào trang tính hoặc mở rộng chức năng của Excel.
Trong chiến dịch đang diễn ra, hacker sử dụng một file chưa được xác nhận. Do vậy, Excel sẽ hiển thị cảnh báo rủi ro khi thực thi file đó.
Cảnh báo của Excel khi thực thi file add-in độc hại
Khi được thực thi, file XLL sử dụng mã độc hại bên trong một hàm xlAutoOpen để tự tải nó vào bộ nhớ. Tiếp theo, nó tải payload từ một máy chủ và thực thi như một quy trình mới thông qua lệnh gọi API.
Nhìn chung, JSSLoader phiên bản mới có thêm rất nhiều cải tiến để tránh bị phát hiện. Nó có thể tồn tại trong mạng của nạn nhân trong vài ngày hoặc vài tuần.
FIN7 là một nhóm hacker với nguồn lực rất mạnh. Trước đây nhóm hacker này đã từng cung cấp các USB chứa mã độc cùng với quà tặng là những chú gấu bông, gửi USB chứa ransomware bằng đường bưu điện cho nạn nhân và còn đóng giả là một công ty bảo mật để cung cấp dịch vụ pentest.
Trong thời gian hiện tại, người dùng nên vô hiệu hóa add-in hoặc tránh tải những file XLL, XLM từ trên mạng về.