Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á

Các cuộc tấn công được thực hiện thông qua kỹ thuật lừa đảo bằng “mồi nhử” có đính kèm tệp hình ảnh ISO trong thư email để phát tán phần mềm độc hại. Hình ảnh ISO bao gồm một tệp thực thi (Winword.exe), một trình tải (MSVCR100.dll) và một tài liệu Microsoft Word làm mồi nhử, tài liệu được nhúng với trình tải KamiKakaBot. Trình tải được thiết kế để tải phần mềm độc hại KamiKakaBot bằng cách tận dụng phương pháp tải thư viện liên kết động (DLL) để tránh các biện pháp bảo vệ và tải nó vào bộ nhớ của tệp nhị phân Winword.exe.

KamiKakaBot chủ yếu được thiết kế để đánh cắp dữ liệu được lưu trữ trong trình duyệt web và thực thi mã từ xa bằng Command Prompt (cmd.exe), đồng thời áp dụng các kỹ thuật trốn tránh để hòa nhập với môi trường nạn nhân và cản trở việc phát hiện.

Chúng xâm nhập máy chủ bằng cách lạm dụng thư viện trình trợ giúp Winlogon để thực hiện các sửa đổi khóa Windows Registry độc hại. Dữ liệu được thu thập sau đó được lọc ra bot Telegram dưới dạng kho lưu trữ ZIP.

Theo một công ty có trụ sở tại Amsterdam: “Việc sử dụng các dịch vụ web hợp pháp làm máy chủ điều khiển lệnh (C2) như Telegram, vẫn là lựa chọn số một của các tác nhân đe dọa khác nhau, từ tội phạm mạng thông thường đến các tác nhân đe dọa dai dẳng nâng cao. Nhóm APT Dark Pink rất có thể là một tác nhân đe dọa có động cơ gián điệp mạng đặc biệt khai thác mối quan hệ giữa các quốc gia ASEAN và châu Âu để tạo ra các chiêu dụ lừa đảo trong chiến dịch tháng 22023"./.