LabubaRAT: Mã độc mới giả danh phần mềm NVIDIA để kiểm soát máy tính Windows
Các nhà nghiên cứu an ninh mạng vừa phát hiện một loại Remote Access Trojan (RAT) mới viết bằng ngôn ngữ Rust, có khả năng giả mạo phần mềm NVIDIA để xâm nhập và điều khiển các máy chủ...
Các chuyên gia an ninh mạng tại Blackpoint Cyber vừa đưa ra cảnh báo về một loại mã độc Remote Access Trojan (RAT) mới có tên gọi LabubaRAT. Điểm đáng chú ý của mã độc này là khả năng giả mạo phần mềm của NVIDIA để qua mặt người dùng và các hệ thống bảo mật.
Table Of Content
Phương thức hoạt động tinh vi
LabubaRAT được phát triển bằng ngôn ngữ Rust, cho phép kẻ tấn công duy trì quyền truy cập lâu dài vào hệ thống bị nhiễm. Sau khi được kích hoạt, mã độc này có khả năng thu thập thông tin máy chủ, nhận lệnh từ xa, di chuyển tệp tin, chụp ảnh màn hình và thiết lập proxy để điều hướng lưu lượng truy cập.
Điểm khác biệt của LabubaRAT so với các loại malware truyền thống là nó không mã hóa cứng thông tin máy chủ điều khiển (C2). Thay vào đó, mã độc sử dụng tệp thực thi nvidia-sysruntime.exe và chấp nhận cấu hình thông qua các tham số dòng lệnh hoặc chuỗi Base64. Điều này giúp kẻ tấn công linh hoạt thay đổi hạ tầng máy chủ mà không cần phải biên dịch lại mã nguồn, một dấu hiệu cho thấy đây có thể là mô hình Malware-as-a-Service (MaaS).
Khả năng thu thập thông tin và né tránh
Sau khi khởi chạy, LabubaRAT sẽ lưu trữ cấu hình trong một cơ sở dữ liệu SQLite cục bộ. Tiếp theo, nó thực hiện quét toàn bộ hệ thống để nhận diện các phần mềm bảo mật đang hoạt động như CrowdStrike, SentinelOne, Kaspersky, Bitdefender, và nhiều trình duyệt web phổ biến khác. Việc thu thập thông tin chi tiết về phần cứng (CPU, RAM) và trạng thái User Account Control (UAC) giúp kẻ tấn công chuẩn bị các bước tấn công tiếp theo phù hợp với môi trường mục tiêu.
Đa dạng phương thức kết nối
Để duy trì sự hiện diện trên hệ thống, LabubaRAT hỗ trợ nhiều kênh liên lạc khác nhau bao gồm HTTPS, WebView2 và DNS tunneling. Điều này cho phép kẻ tấn công duy trì kết nối ngay cả khi một trong các kênh truyền dẫn bị hệ thống phòng thủ phát hiện và chặn đứng. Ngoài ra, mã độc còn cung cấp các tính năng mạnh mẽ như thực thi lệnh PowerShell, JavaScript, quản lý tệp tin và hỗ trợ proxy SOCKS5, mang lại quyền kiểm soát toàn diện cho kẻ tấn công.
Các nhà nghiên cứu cho biết tên gọi LabubaRAT bắt nguồn từ thương hiệu “LabubaPanel” xuất hiện trong hạ tầng C2 của mã độc. Đây là một lời nhắc nhở cho các tổ chức về việc cần tăng cường giám sát các tiến trình lạ giả danh phần mềm hệ thống hoặc trình điều khiển (driver) từ các nhà cung cấp uy tín.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.