Các nhà nghiên cứu của SentinelOne, Aleksandar Milenkoski và Tom Hegel cho biết: "Các phần mềm loaders được đặt tên là MalVirt, sử dụng ảo hóa đã được xáo trộn để chống phân tích và tránh bị phát hiện cùng với bộ cài Windows Process Explorer".
Việc chuyển sang chiến dịch quảng cáo độc hại lạm dụng Google là ví dụ mới nhất về cách tội phạm mạng tìm ra các phương thức khác để phát tán mã độc kể từ khi Microsoft công bố kế hoạch chặn việc thực thi macro trong Office theo mặc định trong các tệp được tải xuống từ Internet.
Quảng cáo độc hại đòi hỏi phải đặt các quảng cáo của công cụ tìm kiếm lừa đảo với hy vọng lừa người dùng đang tìm kiếm phần mềm phổ biến như Blender tải xuống phần mềm trojan.
MalVirt, được triển khai trong .NET sử dụng trình bảo vệ ảo hóa KoiVM hợp pháp cho các ứng dụng .NET để che giấu hành vi của chúng và phát tán mã độc FormBook.
Bên cạnh việc kết hợp các kỹ thuật chống phân tích cùng với chống phát hiện để tránh thực thi trong máy ảo hoặc môi trường sandbox (môi trường thử nghiệm) ứng dụng, các loaders đã sử dụng một phiên bản KoiVM sửa đổi, bổ sung các lớp che giấu nhằm khiến việc giải mã trở nên khó khăn hơn.
Cả FormBook và chủng loại mới của nó là Xloader đều triển khai nhiều tính năng như ghi nhật ký bàn phím, đánh cắp ảnh chụp màn hình, thu thập thông tin đăng nhập web và các thông tin đăng nhập khác cũng như dàn dựng phần mềm độc hại bổ sung.
Các nhà nghiên cứu cho biết: “Để đối phó với việc Microsoft chặn macro Office theo mặc định trong các tài liệu từ Internet, những tác nhân đe dọa đã chuyển sang các phương pháp phát tán phần mềm độc hại thay thế, gần đây nhất là quảng cáo độc hại. Các loaders MalVirt cho thấy các tác nhân đe dọa đang đầu tư nhiều nỗ lực vào việc tránh bị phát hiện và ngăn chặn phân tích".
Trong vài tháng qua, các nhà nghiên cứu đã nhận thấy việc lạm dụng quảng cáo tìm kiếm của Google để phát tán các phần mềm độc hại ngày càng tăng, bao gồm IcedID, Raccoon, Rhadamanthys và Vidar.
Abuse.ch cho biết: "Có khả năng tội phạm mạng đã bắt đầu bán quảng cáo độc hại như một dịch vụ trên web đen".
Các phát hiện được đưa ra hai tháng sau khi phòng thí nghiệm bảo mật K7 có trụ sở tại Ấn Độ trình bày chi tiết về một chiến dịch lừa đảo sử dụng một loader .NET để loại bỏ Remcos RAT và Agent Tesla bằng công nghệ ảo hóa KoiVM.
Tuy nhiên, không phải tất cả đều là những quảng cáo độc hại vì các đối thủ cũng đang thử nghiệm các loại tệp khác như phần bổ trợ Excel (XLL) và tệp đính kèm email OneNote để vượt qua các vành đai bảo mật. /.
