มีการใช้การอัปเดตเว็บเบราว์เซอร์ปลอมเพื่อทำให้ติดมัลแวร์ Remote access trojans (RATs) และมัลแวร์ขโมยข้อมูล เช่น BitRAT และ Lumma Stealer (หรือที่เรียกว่า LummaC2) 

 

การโจมตีแบบลูกโซ่เริ่มต้นขึ้นเมื่อเป้าหมายเยี่ยมชมเว็บไซต์ที่วางกับดักไว้ซึ่งมีโค้ด JavaScript ที่ออกแบบมาเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าอัปเดตเบราว์เซอร์ปลอม (“chatgpt-app[.]cloud”) หน้าเว็บที่ถูกเปลี่ยนเส้นทางมาพร้อมกับลิงก์ดาวน์โหลด ZIP archive file  (“Update.zip”) ที่โฮสต์บน Discord และดาวน์โหลดไปยังอุปกรณ์ของเหยื่อโดยอัตโนมัติ เป็นเรื่องที่น่าสังเกตว่าผู้โจมตีมักใช้ Discord เป็นเวกเตอร์การโจมตี โดยการวิเคราะห์ล่าสุดจาก Bitdefender เผยให้เห็นลิงก์อันตรายมากกว่า 50,000 ลิงก์ที่แพร่กระจายมัลแวร์ แคมเปญฟิชชิ่ง และสแปมในช่วงหกเดือนที่ผ่านมา

 

ZIP archive file คือไฟล์ JavaScript อีกไฟล์ (“Update.js”) ซึ่งทริกเกอร์การทำงานของสคริปต์ PowerShell ที่ทำหน้าที่ในการดึงข้อมูลเพย์โหลดเพิ่มเติม รวมถึง BitRAT และ Lumma Stealer จากเซิร์ฟเวอร์ระยะไกลในรูปแบบของไฟล์รูปภาพ PNG นอกจากนี้ สคริปต์ PowerShell ที่ดึงข้อมูลมาในลักษณะนี้ยังสร้างการคงอยู่และตัวโหลดที่ใช้ .NET ซึ่งส่วนใหญ่ใช้สำหรับการเปิดตัวมัลแวร์ในขั้นตอนสุดท้าย eSentire ตั้งสมมติฐานว่าตัวโหลดมีแนวโน้มที่จะโฆษณาว่าเป็น “บริการจัดส่งมัลแวร์” เนื่องจากตัวโหลดเดียวกันนั้นใช้ในการปรับใช้ทั้ง BitRAT และ Lumma Stealer

 

BitRAT เป็น RAT ที่มีฟีเจอร์หลากหลายซึ่งช่วยให้ผู้โจมตีสามารถรวบรวมข้อมูล ขุดสกุลเงินดิจิทัล ดาวน์โหลดไบนารีเพิ่มเติม และควบคุมโฮสต์ที่ติดไวรัสจากระยะไกล Lumma Stealer เป็น Commodity stealer malware สำหรับสินค้าราคา 250 ถึง 1,000 ดอลลาร์ต่อเดือนตั้งแต่เดือนสิงหาคม 2022 นำเสนอความสามารถในการรวบรวมข้อมูลจากเว็บเบราว์เซอร์ กระเป๋าเงินดิจิทัล และรายละเอียดที่ละเอียดอ่อนอื่น ๆ

 

ในขณะที่การโจมตีดังกล่าวโดยทั่วไปใช้ประโยชน์จากการดาวน์โหลดแบบไดรฟ์และเทคนิคมัลแวร์ ReliaQuest ในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้ว ระบุว่าได้ค้นพบรูปแบบใหม่ของแคมเปญ ClearFake ที่หลอกให้ผู้ใช้คัดลอก วาง และเรียกใช้โค้ด PowerShell ที่เป็นอันตรายด้วยตนเองภายใต้ข้ออ้างของ การอัปเดตเบราว์เซอร์ โดยเฉพาะอย่างยิ่ง เว็บไซต์ที่เป็นอันตรายอ้างว่า “มีบางอย่างผิดพลาดขณะแสดงหน้าเว็บนี้” และแนะนำให้ผู้เยี่ยมชมไซต์ติดตั้งใบรับรองหลักเพื่อแก้ไขปัญหาโดยทำตามขั้นตอนต่างๆ ซึ่งเกี่ยวข้องกับการคัดลอกโค้ด PowerShell ที่ทำให้ยุ่งเหยิงและเรียกใช้ในเทอร์มินัล PowerShell

 

ตามข้อมูลที่แชร์โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Lumma Stealer กลายเป็นหนึ่งในผู้ขโมยข้อมูลที่แพร่หลายมากที่สุดในปี 2023 ควบคู่ไปกับ RedLine และ Raccoon การพัฒนาดังกล่าวเกิดขึ้นเมื่อ AhnLab Security Intelligence Center (ASEC) เปิดเผยรายละเอียดของแคมเปญใหม่ที่ใช้ webhards (ย่อมาจาก web hard drive) เป็นตัวกลางในการแจกจ่ายตัวติดตั้งที่เป็นอันตรายสำหรับเกมสำหรับผู้ใหญ่และ Microsoft Office เวอร์ชันที่แคร็ก และท้ายที่สุดจะปรับใช้โปรแกรมติดตั้งที่หลากหลาย มัลแวร์เช่น Orcus RAT, XMRig miner, 3proxy และ XWorm

 

การโจมตีแบบลูกโซ่ที่คล้ายกันซึ่งเกี่ยวข้องกับเว็บไซต์ที่นำเสนอซอฟต์แวร์ละเมิดลิขสิทธิ์ ได้นำไปสู่การปรับใช้ตัวโหลดมัลแวร์ เช่น PrivateLoader และ TaskLoader ซึ่งทั้งคู่เสนอเป็นบริการแบบจ่ายต่อการติดตั้ง (PPI) สำหรับอาชญากรไซเบอร์รายอื่นเพื่อส่งมอบเพย์โหลดของตนเอง นอกจากนี้ยังติดตามการค้นพบใหม่จาก Silent Push เกี่ยวกับเซิร์ฟเวอร์ชื่อ DNSPod[.]com ที่ “แทบจะเป็นการใช้แบบ Exclusive” ของ CryptoChameleon เพื่อรองรับสถาปัตยกรรมชุดฟิชชิ่ง DNSPod ซึ่งเป็นส่วนหนึ่งของบริษัท Tencent ของจีน มีประวัติการให้บริการแก่ผู้ให้บริการ Malicious bulletproof hosting